V tradičním středečním bezpečnostním okénku vyšly tento týden dvě bezpečnostní aktualizace pro Drupal řešící středně kritické chyby zabezpečení. Naposledy je oprava uvolněna také pro Drupal 8, který dosáhl konce své životnosti.
První oprava se týká knihovny CKEditor pro vizuální editaci obsahu. Chyba je zneužitelná v případě, že uživatel má přístup k vkládání obsahu (i bez použití CKEditoru) a útočník může provést XSS a získat tak případně administrátorské oprávnění.
Řešením je update na Drupal 9.2.9, Drupal 9.1.14 nebo Drupal 8.9.20. Pro osmičku je to poslední vydaná aktualizace, další nebudou. Co se týká Drupalu 7, tam aktualizace jádra tento problém neřeší, CKEditor není součástí jádra.
Druhá včerejší aktualizace řeší problém zabezpečení při přihlašování se do webu pomocí OpenID v kombinaci s Microsoft Azure Active Directory. Řešením je aktualizace modulu na nejnovější verzi, a to jak pro Drupal 7, tak pro Drupal 8/9.