V jádře Drupalu byla nalezena řada zranitelností a je proto vhodné, abyste opět aktualizovali na nejnovější verzi. Problémy zahrnují XSS, SQL injektáž, získání přístupu a další.
Zranitelnost XSS bezpečnostní tým objevil ve zpracování AJAXu u prvků formulářů. Drupalu 6 se problém netýká, trpí jím pouze Drupal 7. Nicméně u šestky pozor na podobný problém ve spojení s modulem Chaos Tool Suite, viz dále.
Problém XSS trápí také autocomplete políčka s doplňováním psaného textu. Nemají úplně nejlépe ošetřeno volání adresy, která poskytuje data pro doplnění.
V Drupalu 7 byla zjištěna možnost SQL injektáže v systému filtrů pro komentáře. Provést ji může pouze uživatel s vyššími oprávněními.
CSRF trápí Drupal 6 i 7, konkrétně ve Form API umožňujícím nahrát soubor a zavolat zpracování na neověřeném vstupu. Ve výsledku může uživatel nahrát soubory pod jiným, než svým účtem.
A konečně obě řady Drupalu trpí také tím, že uživatelé bez oprávnění zobrazit obsah mohou vidět nadpisy uzlů, ke kterým nemají přístup. Tedy v případě, že jsou tyto uzly zařazeny do menu, které tito uživatelé vidí.
Pro podrobnosti a info, za jakých okolností jsou tyto útoky a zranitelnosti podmíněny a zmírněny, koukněte na SA-CORE-2015-003.
Aktualizujte také moduly pro Drupal
Přes noc se objevily také aktualizace některých doplňkových modulů, které řeší zranitelnosti: