Разрабтчики устранили уязвимости в Drupal 7.39 и 6.37


DrupalРазработчики системы управления содержимым Drupal выпустили новые версии ПО 7.39 и 6.37, призванные устранить ряд брешей. Стоит отметить, что в настоящее под управлением CMS Drupal находится более 1,1 млн web-сайтов.

Так, согласно бюллетеню безопасности Drupal, первая брешь представляет собой XSS-уязвимость в 7 ветке. Она может быть проэксплуатирована злоумышленниками для осуществления атак. Брешь не затрагивает версию Drupal 6 и не может быть проэксплуатирована на сайтах, не разрешающих ввод HTML не доверенным пользователям.

Вторая XSS-брешь, затрагивает обе версии Drupal 6 и 7. Она существует в функции автозаполнения форм из-за того, что очистка запрошенного URL не происходит должным образом. Данная брешь может быть проэксплуатирована только атакующими с правами на загрузку файлов.

Следующая уязвимость, которой подвержены все версии Drupal 7, позволяет не имея никаких прав в системе выполнить произвольный SQL-запрос в базу данных Drupal.

В обновлениях Drupal 7.39 и 6.37 также исправлена уязвимость межсайтовой подделки запроса. Данная брешь затрагивает Form API и позволяет осуществить загрузку файлов на уязвимом ресурсе, используя учетную запись другого пользователя. Отмечено, данные файлы автоматически удаляются по истечении 6 часов.

Вышеуказанные бреши затрагивают все версии Drupal 6 до 6.37 и Drupal 7 до версии 7.39. В настоящее время этим уязвимостям еще не присвоены идентификаторы CVE.


Обновлено (23.08.2015 07:11)