Drupal CMS, několik zranitelností

Bylo ohlášeno několik nově nalezených zranitelností ve značně rozšířeném Content Management Systému Drupal. První zranitelnost se týká nahrávání příloh ke koměntářům. K tomu drupal využívá a převrací různé funkce přítomné v upload modulu. V určitých, běžných případech komentáře posílají kontrolním funkcím nahrávání chybná data, což může vyústit v překlenutí kontroly dat a uživatelé s oprávněním k nahrávání souborů tak mohou serveru posílat data s libovolnou koncovkou. Druhá zranitelnost se týká uživatelského systému bodování, tzv. "UserPoints". Rozhraní API v Drupalu brání cross-site request podovodům. Formulář pro moderování uživatelských bodů ale tento model nepoužívá a není proti tomuto typu podvodu tedy chráněn. Tento útok může vyústit v přijetí nebo odmítnutí bodů, které byly ve správě. Další zranitelnost se týká XSS (Cross-site scripting) v modulu sledování změn problému a otázek v projektech. Tento modul poskytuje shrnující tabulku pro sledování změn stavu problémů mezi komentáři. Uživatelé s určitými oprávněními k editaci mají možnost vložit libovolný kód na stránky obsahující tyto tabulky. Čtvrtá zranitelnost se vyskytla ve stejném modulu jako předchozí a dovoluje uživatelům zakládajícím nová témata nahrát libovolné soubory, což může taktéž vyústit v cross-site scripting nebo v závislosti na konfiguraci serveru spustit libovolný kód. Poslední zranitelnost byla objevena v Drupal Secure Site Modulu. Při přihlášení na web přes stejný proxy server jako používá jiný momentálně přihlášený uživatel je možné přihlásit se na účet tohoto připojeného uživatele. Většina zranitelností je v nových verzích jednotlivých modulů opravena. Tyto jsou k dispozici ke stažení na předchozích odkazech.