Запушиха сериозна дупка в Drupal
Екипите, грижещи се за сигурността на популярната CMS платформа Drupal, алармираха за открито и запушени няколко уязвимости в софтуера. Една от тях е определена за критична и може да доведе до неоторизираното изпълнение на зловреден код и превземане на ресурса на основата на Drupal.
Въпросната уязвимост засяга модула, отговарящ за контекстуалните връзки (Contextual Links) и се крие в неуспеха на модула да ги валидира адекватно. Това може да доведе до споменатото изпълнение на отдалечен код, но както и подчертават от Drupal, успешното експлоатиране на уязвимостта може да бъде осъществено само, ако атакуващата страна има достъп до акаунт, който позволява достигането на споменатите контекстуални връзки.
Друг сериозен проблем, който вече е адресиран се крие във функцията DefaultMailSystem::mail(). Той е свързан с липсата на санитизация за някои променливи за shell аргументите при изпращане на поща.
Тези и други проблеми са адресирани във версии 7.60, 8.6.2 и 8.5.8 на Drupal. Нужно е своевременно да наложите обновленията, тъй като вероятно опитите за атаки към вече документираните проблеми, да започнат скоро.