Екипът по сигурност на популярната CMS платформа Drupal съобщи тази седмица за проблеми във версиите преди 7.29 и 6.32, вкл. критична уязвимост.
Откритите уязвимости позволяват извършване на DoS атаки, водещи до претоварване и отказ на услугата, както и „cross-site scripting” атаки с цел кражба на информация.
DoS атаката може да се осъществи чрез зловреден HTTP Host хедер, тъй като валидирането не се извършва коректно. Подменената стойност на хедера може да причини отказ от услуга, съобщиха от Drupal.
Достъпът до частни данни е възможен през File модула в Drupal 7, който позволява прикачване на файлове към части от съдържанието. Оказва се обаче, че модулът не проверява достатъчно добре разрешението за разглеждане на прикачения файл, когато файлът е бил качен преди това.
XSS уязвимостите се разглеждат като умерено критични. Една от тях е открита в системата Ajax и се среща във форми, които включват комбинация от Ajax-текстово поле и поле за файл.
Всички уязвимости могат да се експлоатират отдалечено. Разработчиците на Drupal препоръчват на потребителите незабавно да обновят своите версии до 7.29 или 6.32, за да елиминират критични рискове със сигурността в ядрото на Drupal 6 и 7.