Po delší době vyšly bezpečnostní aktualizace pro jádro redakčního systému Drupal. Řeší zranitelnost v knihovně jQuery, která je součástí Drupalu. Aktualizace je k dispozici nejenom pro Drupal 8, ale i léty prověřený a stále oblíbený Drupal 7.
Knihovna jQuery vyšla v nové verzi 3.5.0 a spolu s tím byly oznámeny dvě bezpečnostní zranitelnosti ve všech předcházejících verzích. Týkají se manipulace s Document Object Modelem, tedy funkcí $('...').html('...'), $('…').append('…') a podobně. Chyby byly popsány na GitHubu.
Na některých webech s Drupalem mohou způsobit bezpečnostní problém. Neměli byste tedy příliš dlouho váhat a chybu označovanou jako středně kritickou vyřešit aktualizací na nejnovější verze Drupalu, konkrétně Drupal 8.8.6 nebo Drupal 7.70. Oprava vyšla také pro Drupal 8.7 -> 8.7.14.
Oprava vyšla také v rámci betaverzí Drupalu 9.
Aktualizace nemění nic v databázi, nicméně bezpečnostní tým doporučuje i tak spustit a proklikat update.php, abyste vymazali cache. Tolik říká oficiální info. V praxi asi uvidíte, že tam visí jedno info o updatu - netýká se databáze, ale je třeba jím projít.
Další informace viz Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2020-002.