2016年7月13日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2016-038
●プロジェクト　： Webform Multiple File Upload (拡張モジュール)
●バージョン　： 7.x
●投稿日　：2016/7/13
●セキュリティリスク　： Critical
●脆弱性　： Arbitrary PHP code execution

==概要==
Webform Multiple File Uploadモジュールには、遠隔地からのコード実行 (RCE) に関する脆弱性が存在します。
これは、フォームインプットのシリアライズが解除され、特別に作成されたフォームインプットによって任意のコードが実行されるというものです。
実行されるコードは、サイト上で利用可能なライブラリに依存します。

この脆弱性の緩和要素は、攻撃者がMultiple File Inputフィールドを使ってWebフォームを送信する必要があることです。
さらに、サイト上に、悪意ある目的に利用できるコードを含む、wake/destroyで呼び出されるメソッドで定義されたオブジェクトが存在する必要があります。
Drupal 7 Coreには、 任意のファイルを削除できるクラスが含まれますが、提供されたクラスやカスタムクラスにも、RCEに利用できるメソッドが含まれる可能性があります。

注意: この脆弱性は、Webform Multiple File Upload (webform_multifile) モジュールに存在します。似た名前のモジュールとしてWebform Multiple File (webform_multiple_file) がありますが、この問題とは関係ありません。

影響を受けるバージョンは、7.x-1.4以前の7.x-1.xバージョンです。
該当する場合はWebform Multiple File Upload 7.x-1.4にアップグレードすることをお勧めします。

Drupalのコアには影響しませんし、 Webform Multiple File Uploadモジュールを使用しない場合は、何もする必要はありません。

==元記事==
https://www.drupal.org/node/2765573