Guy Elsmore-Paddock

**Nome do software vulnerável e versões afetadas** Versões do Drupal anteriores à versão corrigida **Descrição** O módulo Image não verifica corretamente o acesso a arquivos de imagem não armazenados no diretório padrão de arquivos públicos ao gerar imagens derivadas usando o sistema de estilos de imagem. O acesso a um arquivo não público só é verificado se ele estiver armazenado no sistema de arquivos “privado”. No entanto, alguns módulos contribuídos fornecem sistemas de arquivos adicionais, ou esquemas, o que pode levar a esse problema. Isso é mitigado pelo fato de que só se aplica quando o site define `$config[‘image.settings’][‘allow insecure derivatives’]` ou `$conf[‘image allow insecure derivatives’]` como TRUE. A configuração recomendada e padrão é FALSE. **Recomendações** Para o Drupal 9, certifique-se de que `$config[‘image.settings’][‘allow insecure derivatives’]` esteja definido como FALSE. Para o Drupal 7, certifique-se de que `$conf[‘image allow insecure derivatives’]` esteja definido como FALSE. Consulte as notas de lançamento da sua versão do Drupal se tiver problemas para acessar arquivos ou estilos de imagem após a atualização. Considere revisar e ajustar a configuração de módulos contribuídos que fornecem sistemas de arquivos ou esquemas adicionais para minimizar riscos potenciais.