Критическая уязвимость в ядре Drupal версий 6, 7 и 8

[symbix]

Обалдеть просто!

Это что же там происходит с ключами, начинающимися с #? eval? call_user_func? И сколько же там таких мест, что вместо нормального исправления приходится делать глобальный sanitize по белым спискам?

[gmother]

По-видимому, нашли одно, но закрыли, на всякий случай, намертво. Или это сделано чтобы сложнее было понять где именно баг, тем самым отсрочить создание эксплойта.

[symbix]

Я, кажется, немножко понял.

Drupal Form API Reference:
https://api.drupal.org/api/drupal/developer%21topics%21forms_api_reference.html/7.x

И вот примерно такое:
https://github.com/drupal/drupal/commit/a3f84c7782c6bc858e9fa01c16a39361faef15c0

[gmother]

Да, видимо оно:

//includes/form.inc
$form_state['input'] = $form_state['method'] == 'get' ? $_GET : $_POST;

[LukaSafonov]

PoC: index.php?page['#payload']=home.php

[Raz0r]

Это не сработает.

[evildoer]

Дырявое корыто!

[Cyber0x346]

D8 — сплошное разочарование.

[Insolita]

Что-то похоже перестраховались друпальщики, PoC так и нет https://greysec.net/showthread.php?tid=2912&page=4

[gmother]

Видимо если дыра и есть, то в очень нетривиальном месте. Коду больше 10 лет, сотни человек его постоянно разрабатывают и десятки тысяч активно используют, а обнаружили только сейчас.