Drupal 核心包含潜在的 PHP 对象注入 (PHP Object Injection) 漏洞

Drupal 核心包含潜在的 PHP 对象注入 (PHP Object Injection) 漏洞，如果与其他漏洞结合使用，可能导致远程代码执行 (Remote Code Execution)。它不能直接被利用。 此问题通过以下事实得到缓解：为了使其可被利用，必须存在一个单独的漏洞，以允许攻击者将不安全的输入传递给 `unserialize()`。在 Drupal 核心中没有此类已知漏洞。 为了帮助防止这种潜在的漏洞，类型已添加到 Drupal 核心某些类中的属性。如果应用程序扩展了这些类，则可能需要在子类上指定相同的类型，以避免 `TypeError`。 此问题影响 Drupal Core：从 8.0.0 到 10.2.11 之前的版本，从 10.3.0 到 10.3.9 之前的版本，从 11.0.0 到 11.0.8 之前的版本。