Nome do software vulnerável e versões afetadas:

Núcleo do Drupal 8 (versões afetadas não especificadas)

Descrição:

O problema decorre do fato de a função file save upload() não remover os pontos à esquerda e à direita dos nomes de arquivos, o que poderia permitir que usuários enviassem arquivos do sistema, como o .htaccess. Isso pode contornar as proteções fornecidas pelo arquivo .htaccess padrão do Drupal, especialmente quando usado com módulos contribuídos que permitem o upload de arquivos com qualquer extensão.

Recomendações:

Para o núcleo do Drupal 8, atualize a função file save upload() para remover os pontos à esquerda e à direita dos nomes de arquivos, a fim de evitar possíveis explorações.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.