Drupal core 包含一个潜在的 PHP 对象注入漏洞

Drupal core 包含一个潜在的 PHP 对象注入 (PHP Object Injection) 漏洞，如果与其他漏洞结合使用，可能导致任意文件删除 (Artbitrary File Deletion)。它不能直接被利用。 缓解此问题的原因是，为了能够被利用，必须存在一个单独的漏洞，允许攻击者将不安全的输入传递给 `unserialize()`。在 Drupal core 中没有已知的此类漏洞。 为了帮助防止此漏洞，类型已添加到 Drupal core 的某些类中的属性。如果应用程序扩展了这些类，则可能需要在子类上指定相同的类型，以避免 `TypeError`。 此问题影响 Drupal Core：从 8.0.0 到 10.2.11 之前的版本，从 10.3.0 到 10.3.9 之前的版本，从 11.0.0 到 11.0.8 之前的版本。