CVE-2020-13664

**Nome do software vulnerável e versões afetadas:

Versões do Drupal Core anteriores à 8.8.8

Versões do Drupal Core anteriores à 8.9.1

Versão 9.0.1 do Drupal Core

Descrição:

O problema está relacionado a uma vulnerabilidade que permite a execução arbitrária de código PHP em determinadas circunstâncias. Um invasor poderia induzir um administrador a visitar um site malicioso, resultando na criação de um diretório com nome cuidadosamente escolhido no sistema de arquivos. Com esse diretório criado, um invasor poderia tentar explorar uma vulnerabilidade de execução remota de código por força bruta. É mais provável que esse problema afete servidores Windows. A vulnerabilidade está associada à autenticação insuficiente de solicitações executadas, o que poderia permitir que um invasor remoto executasse código arbitrário.

Recomendações:

Para versões do Drupal Core anteriores à 8.8.8, atualize para a versão 8.8.8 ou posterior.

Para versões do Drupal Core anteriores à 8.9.1, atualize para a versão 8.9.1 ou posterior.

Para a versão 9.0.1 do Drupal Core, atualize para uma versão posterior à 9.0.1.

Como solução temporária, considere restringir o acesso ao sistema de arquivos para minimizar o risco de exploração.