Drupal 6 obsahuje také chybu v checkPlain, která zajišťuje odstranění aktivních HTML značek z textu, resp. jejich nahrazení Escape sekvencemi. Vlivem této chyby je upraven pouze první výskyt řetězce, další jsou ponechány v původním stavu. To opět umožňuje útočníkovi vložit libovolný kód.
Oprava problému
Možnosti, jak popsané chyby odstranit, jsou dvě. Jelikož jde o chybu přímo v jádře Drupalu, měli byste jej aktualizovat na nejnovější verzi (pokud tedy již používáte Drupal 6). Pokud z nějakých důvodů nemůžete aktualizaci provést okamžitě, použijte alespoň připravený patch. Následující odkazy vedou na soubory z Drupal.org:
Další informace o Drupalu 6 najdete zde na Maxiorlovi nebo na Drupal.org.
Tvůrce webů z Brna se specializací na Drupal a Symfony. Obojí také školím spolu se základy SEO. Jsem Acquia Certified Developer (Drupal 7) a Site Builder (Drupal 8 & 9) a napsal jsem několik knih o Drupalu. Ve volných chvílích cestuji a podnikám výlety. Více se dozvíte na mém firemním webu.
Přidat komentář