Konkrétně se jedná o možnou zranitelnost XSS ve fóru v Drupalu 6, která může vést k získání administrátorských práv k webu. Další problém spojený s Drupalem 6 je v podpisech. Ty nemají speciální vstupní formát, ale používají ten, kterým je vytvořen komentář. Pokud jej pak administrátor upraví a změní mu vstupní formát, uživatel do toho sice nemůže už zpětně zasáhnout, může však podstrčit škodlivý kód do svého podpisu, který se u komentáře objevuje.
Poslední objevený problém najdete v Drupalu 5 i 6 a nastane v situaci, kdy je uživatel na stránce s tabulkou a špatně zadá přihlašovací údaje. Ty jsou poté v tabulce zobrazeny ve formě odkazu, který po klepnutí zobrazí jméno a heslo. Problém je v tom, že když ve jméně bude jen překlep a heslo bude správně, je možné, že se jej nějaká jiná stránka pokusí získat z cache Drupalu.
Chyby jsou to tedy poměrně vážné, s aktualizací webu se tedy nevyplatí otálet.
Stahujte Drupal 6.13 a Drupal 5.19.
Zdroj: Drupal.org
Tvůrce webů z Brna se specializací na Drupal, WordPress a Symfony. Acquia Certified Developer & Site Builder. Autor několika knih o Drupalu. Web Development Director v Lesensky.cz. Ve volných chvílích podnikám výlety na souši i po vodě. Více se dozvíte na polzer.cz.
Komentáře k článku
Komentáře
Mě to udělalo také
No, mám málo informací, abych poradil. Jaká fotka? Obrázek z modulu Image nebo co?
Tak jsem aktualizoval a zdálo se všechno v pořádku. A dnes ráno koukám a všechny články co jsem sepsal včera tak u nich zmizela fotka :-(
Udělalo to ještě někomu z vás?