и снова друпал на высоте: https://www.drupal.org/project/ludwig

Drupal core - Critical - Arbitrary PHP code execution - SA-CORE-2020-013
https://www.drupal.org/sa-core-2020-013

Project: Drupal core (https://www.drupal.org/project/drupal)Date: 2020-November-25Security risk: Critical 18∕25 AC:Complex/A:User/CI:All/II:All/E:Exploit/TD:UncommonVulnerability: Arbitrary PHP code executionCVE IDs: CVE-2020-28949CVE-2020-28948Description: The Drupal project uses the PEAR Archive_Tar library. The PEAR Archive_Tar library has released a security update that impacts Drupal. For more information please see:
CVE-2020-28948 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-28948)
CVE-2020-28949 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-28949)
Multiple vulnerabilities are possible if Drupal is configured to allow .tar, .tar.gz, .bz2 or .tlz file uploads and processes them.
To mitigate this issue, prevent untrusted users from uploading .tar, .tar.gz, .bz2 or .tlz files.
This is a different issue than SA-CORE-2019-12 (https://www.drupal.org/sa-core-2019-012), similar configuration changes may mitigate the problem until you are able to patch.Solution: Install the latest version:
If you are using Drupal 9.0, update to Drupal 9.0.9 (https://www.drupal.org/project/drupal/releases/9.0.9)
If you are using Drupal 8.9, update to Drupal 8.9.10 (https://www.drupal.org/project/drupal/releases/8.9.10)
If you are using Drupal 8.8 or earlier, update to Drupal 8.8.12 (https://www.drupal.org/project/drupal/releases/8.8.12)
If you are using Drupal 7, update to Drupal 7.75 (https://www.drupal.org/project/drupal/releases/7.75)
Versions of Drupal 8 prior to 8.8.x are end-of-life and do not receive security coverage.
According to the regular security release window schedule (https://www.drupal.org/node/1173280), November 25th would not typically be a core security window. However, this release is necessary because there are known exploits for one of core's dependencies and some configurations of Drupal are vulnerable.Reported By: Luke Stewart (https://www.drupal.org/user/3564081)
Fixed By: Jess  (https://www.drupal.org/user/65776) of the Drupal Security Team
Drew Webber (https://www.drupal.org/user/255969) of the Drupal Security Team
Michael Hess (https://www.drupal.org/user/102818) of the Drupal Security Team
Neil Drumm (https://www.drupal.org/user/3064) of the Drupal Security Team
Lee Rowlands (https://www.drupal.org/user/395439) of the Drupal Security Team

странный фикс https://github.com/pear/Archive_Tar/commit/0670a05fdab997036a3fc3ef113b8f5922e574da

кто ж разрешает  .tar файлы заливать?

дык дыра-то если внутри архива phar

D8. Advagg по крону удаляет сгенерированные файлы раз в N дней. Кто-нибудь в курсе в каком моменте он их перегенирирует?
Есть проблема, что чёто они не перегенирируются пока руками кеш не почистить.

@dimovski5 Димон, ты тему натянул?

Не(

Ну как, я на главную страницу залил, а как сделать остальные, дабы при определённом path была определенная, заранее сверстанная страница - я так и не вдуплил

Какие в теме файлы создавать и т.д. не пойму, если в вп там " blog.php " допустим, тут такое не катит, шарю что страница - это вроде нода, но как создать 5 нод, и везде сделать разную вёрстку - я не понял

насколько отличаются "другие" страницы?
Может, там достаточно css поправить?
Может, просто другие блоки добавить / убрать?
Может, там вьюс на "другой" странице установлен?
Может...

Может, вот этот модуль подойдёт:

https://www.drupal.org/project/themekey
?

отличаются контентом.
Хедер и футер везде одинаковые

Ну так создайте ещё страницу Page (через добавление контента). И напишите туда то, что надо.
Адрес страницы (нужный урл) можно вписать внизу.

Или создайте Статью - Article - всё то же самое.

а хедер и футер он сам возьмёт, да ?

Если тему установили правильно - то да.
Это надо было ещё с самого начала попробовать.