Drupal core bevat een potentieel PHP Object Injection (PHP Object Injection) beveiligingslek

Drupal core bevat een potentieel PHP Object Injection (PHP Object Injection) beveiligingslek dat (indien gecombineerd met een andere exploit) kan leiden tot Artbitrary File Deletion (Artbitrary File Deletion). Het is niet direct te misbruiken. Dit probleem wordt verzacht door het feit dat er, om misbruik te kunnen maken, een afzonderlijk beveiligingslek aanwezig moet zijn dat een aanvaller in staat stelt om onveilige invoer door te geven aan `unserialize()`. Er zijn geen dergelijke bekende exploits in Drupal core. Om te helpen beschermen tegen dit beveiligingslek, zijn er types toegevoegd aan eigenschappen in sommige klassen van Drupal core. Als een applicatie die klassen uitbreidt, moeten dezelfde types mogelijk worden gespecificeerd op de subklasse om een `TypeError` te voorkomen. Dit probleem treft Drupal Core: van 8.0.0 tot 10.2.11, van 10.3.0 tot 10.3.9, van 11.0.0 tot 11.0.8.