Pozor na ztrátu komentářů a revizí
První chyba ve Forms API umožňuje útočníkovi smazat komentáře, revize obsahu a vypnout některá menu. Předpokladem je, že k tomu zneužijí uživatele s dostatečným oprávněním, který je momentálně k systému přihlášen a nebožák nic netuší. Tato chyba se týká pouze řady Drupal 5.x, verze 4.7.x nejsou postiženy.
Spouštění kódu
Druhý problém spočívá v XSS. Obsah některých proměnných není v Drupalovi dostatečně ošetřen, takže potenciální útočník může při přidělených právech k administraci typů obsahu injektovat a spouštět HTML kód a libovolné skripty na vašem webu.
Odkazy ke stažení oprav
Vzhledem k tomu, že jde o kritické chyby, je vhodné co nejrychleji provést aktualizaci vašich webů s Drupalem. Nemůžete-li ihned svůj web aktualizovat, doporučuje se použití zveřejněných patchů.
Tvůrce webů z Brna se specializací na Drupal, WordPress a Symfony. Acquia Certified Developer & Site Builder. Autor několika knih o Drupalu. Web Development Director v Lesensky.cz. Ve volných chvílích podnikám výlety na souši i po vodě. Více se dozvíte na polzer.cz.
Přidat komentář