Konkrétně se jedná o možnou zranitelnost XSS ve fóru v Drupalu 6, která může vést k získání administrátorských práv k webu. Další problém spojený s Drupalem 6 je v podpisech. Ty nemají speciální vstupní formát, ale používají ten, kterým je vytvořen komentář. Pokud jej pak administrátor upraví a změní mu vstupní formát, uživatel do toho sice nemůže už zpětně zasáhnout, může však podstrčit škodlivý kód do svého podpisu, který se u komentáře objevuje.
Poslední objevený problém najdete v Drupalu 5 i 6 a nastane v situaci, kdy je uživatel na stránce s tabulkou a špatně zadá přihlašovací údaje. Ty jsou poté v tabulce zobrazeny ve formě odkazu, který po klepnutí zobrazí jméno a heslo. Problém je v tom, že když ve jméně bude jen překlep a heslo bude správně, je možné, že se jej nějaká jiná stránka pokusí získat z cache Drupalu.
Chyby jsou to tedy poměrně vážné, s aktualizací webu se tedy nevyplatí otálet.
Stahujte Drupal 6.13 a Drupal 5.19.
Zdroj: Drupal.org
Tvůrce webů z Brna se specializací na Drupal a Symfony. Obojí také školím spolu se základy SEO. Jsem Acquia Certified Developer a Site Builder a napsal jsem několik knih o Drupalu. Ve volných chvílích cestuji a podnikám výlety. Více se dozvíte na mém firemním webu.
Podobné články
Komentáře k článku
Komentáře
Mě to udělalo také
No, mám málo informací, abych poradil. Jaká fotka? Obrázek z modulu Image nebo co?
Tak jsem aktualizoval a zdálo se všechno v pořádku. A dnes ráno koukám a všechny články co jsem sepsal včera tak u nich zmizela fotka :-(
Udělalo to ještě někomu z vás?