поставь туда nodes-autocomplete-catalog/%vocabulary_id

Ubercart - Moderately critical - Cross site scripting - SA-CONTRIB-2019-070
https://www.drupal.org/sa-contrib-2019-070

Project: Ubercart (https://www.drupal.org/project/ubercart)Date: 2019-October-02Security risk: Moderately critical 11∕25 AC:Basic/A:Admin/CI:Some/II:Some/E:Theoretical/TD:UncommonVulnerability: Cross site scriptingDescription: The Ubercart module provides a shopping cart and e-commerce features for Drupal.
The order module doesn't sufficiently sanitize user input when displayed on an invoice leading to a Cross Site Scripting (XSS) vulnerability.
This vulnerability is mitigated by the fact that an attacker must have a role with the permission "edit orders".Solution: Install the latest version:
If you use the Ubercart module for Drupal 7.x, upgrade to Ubercart 7.x-3.13 (https://www.drupal.org/project/ubercart/releases/7.x-3.13)
Also see the Ubercart (https://www.drupal.org/project/ubercart) project page.Reported By: Devin Zuczek  (https://www.drupal.org/user/701754)
Fixed By: Devin Zuczek  (https://www.drupal.org/user/701754)
Dave Long  (https://www.drupal.org/user/246492)
Coordinated By: Greg Knaddison (https://www.drupal.org/user/36762) of the Drupal Security Team

Кто юзает уберкарт для семерки, обновитесь.

@vstepankov да, 11 из 25 😄

Localization update - Moderately critical - Insecure server configuration - SA-CONTRIB-2019-072
https://www.drupal.org/sa-contrib-2019-072

Project: Localization update (https://www.drupal.org/project/l10n_update)Date: 2019-October-02Security risk: Moderately critical 10∕25 AC:Complex/A:Admin/CI:Some/II:Some/E:Theoretical/TD:UncommonVulnerability: Insecure server configurationDescription: This module enables you to automatically download and update the site's interface translation by fetching them from localize.drupal.org or any other Localization server.
The module doesn't sufficiently protect the directory it stores translation files in. It's conventional for directories which may be writeable to be protected by a .htaccess file to prevent malicious PHP files placed within them being executed by the webserver. This vulnerability is mitigated by the fact that an attacker typically wouldn't be able to place a malicious file in the module's storage directory.Solution: Install the latest version:
If you use the Localization Update module for Drupal 7.x-1.x, upgrade to Localization Update 7.x-1.2 (https://www.drupal.org/project/l10n_update/releases/7.x-1.2)
If you use the Localization Update module for Drupal 7.x-2.x, upgrade to Localization Update 7.x-2.3 (https://www.drupal.org/project/l10n_update/releases/7.x-2.3)
Also see the Localization update (https://www.drupal.org/project/l10n_update) project page.Reported By: Gisle Hannemyr  (https://www.drupal.org/user/409554)
Fixed By: Gisle Hannemyr  (https://www.drupal.org/user/409554)
Erik Stielstra  (https://www.drupal.org/user/73854)
Gábor Hojtsy  (https://www.drupal.org/user/4166)
Coordinated By: Damien McKenna (https://www.drupal.org/u/dmckenna) of the Drupal Security Team

тут вот 10 даже

Если ты очень креатвный админ сайта то за пару вечеров усиленной работы ты сможешь выстрелить себе в ногу при благоприятном попутном ветре

ждём статьи на хакер.ру, что в друпале очередной критикал, через который можно угнать сайт

папка в которую скачивают открыта, ну да
в неё что-то может попасть? в этом смысл?
но как?

или это для шаред хостингов уязвимость, когда можно соседнему юзеру насрать?

Если ты очень креатвный админ друпал орга...

ну или так

https://git.drupalcode.org/project/l10n_update/commit/afd90e91af5eca58e3830b51babe43dba30c8aeb#fd6d676c6ae3281fa2beb62796b7a32c47358bad_339_343
это для случаев, когда не знают разницу между /tmp и tmp

формально открытые на запись папки должны быть защищены от исполнения

только в эту папку ещё попасть надо

ну и если оно под nginx конфигом, то хер вам, а не зити

ну так Энди чо постоянно и тыкает пальцем в нгинксолюбов

вообще нехер в докруте хранить то, что потенциально не скачивается

быть нгинксолюбом плохо?

если ты в докруте хранишь tmp, то да