漏洞描述
某些字段类型无法在8.5.11之前的Drupal 8.5.x和8.6.10之前的Drupal 8.6.x中正确地清理非格式源中的数据。在某些情况下,这可能导致任意PHP代码执行。如果满足下列条件之一,则站点仅受此影响:站点启用了Drupal 8核心RESTful Web服务(休息)模块并允许PATCH或POST请求,或者站点启用了另一个Web服务模块,如JSON :Drupal 8中的API,或Drupal 7中的服务或RESTful Web服务。(注意:Drupal 7服务模块本身不需要更新,但如果使用服务,您应该应用与此通报相关的其他贡献更新。)<br>