Разработчики системы управления контентом Drupal выпустили патчи, устраняющие две проблемы безопасности, обнаруженные в CMS ранее.
Один из патчей (2019-001) устраняет уязвимость в библиотеке PEAR Archive_Tar, которой был присвоен идентификатор CVE-2018-1000888. Атакующий может использовать эту дыру с помощью вредоносного файла tar.
Второй фикс — 2019-002 — исправляет проблему обработки ядром сайта адресов phar:// в операциях с файлами. Чтобы воспользоваться этой брешью, атакующему потребуется создать ситуацию, в которой уязвимый скрипт наткнется на специально созданную вредоносную строку.
Источник: https://www.anti-malware.ru/news/2019-01-18-1447/28580