CVE-2022-25275

Versões do Drupal anteriores à versão corrigida

O módulo Image não verifica corretamente o acesso a arquivos de imagem não armazenados no diretório padrão de arquivos públicos ao gerar imagens derivadas usando o sistema de estilos de imagem. O acesso a um arquivo não público só é verificado se ele estiver armazenado no sistema de arquivos “privado”. No entanto, alguns módulos contribuídos fornecem sistemas de arquivos adicionais, ou esquemas, o que pode levar a esse problema. Isso é mitigado pelo fato de que só se aplica quando o site define $config[‘image.settings’][‘allow insecure derivatives’] ou $conf[‘image allow insecure derivatives’] como TRUE. A configuração recomendada e padrão é FALSE.

Para o Drupal 9, certifique-se de que $config[‘image.settings’][‘allow insecure derivatives’] esteja definido como FALSE.

Para o Drupal 7, certifique-se de que $conf[‘image allow insecure derivatives’] esteja definido como FALSE.

Consulte as notas de lançamento da sua versão do Drupal se tiver problemas para acessar arquivos ou estilos de imagem após a atualização.

Considere revisar e ajustar a configuração de módulos contribuídos que fornecem sistemas de arquivos ou esquemas adicionais para minimizar riscos potenciais.