Drupal 核心任意 PHP 代码执行

Drupal 核心在上传时会对具有危险扩展名的文件名进行清理，并从文件名中删除前导和尾随点，以防止上传服务器配置文件。 但是，之前针对这两个漏洞的保护措施无法正确协同工作。因此，如果站点配置为允许上传具有 htaccess 扩展名的文件，则这些文件的文件名将无法正确清理。这可能允许绕过 Drupal 核心默认 .htaccess 文件提供的保护，并可能在 Apache Web 服务器上执行远程代码。 此问题通过以下事实得到缓解：它需要字段管理员显式配置文件字段以允许 htaccess 作为扩展名（受限权限），或者需要贡献模块或自定义代码来覆盖允许的文件上传。