Одна из них позволяет выполнить произвольный SQL-запрос в базу данных Drupal, не имея никаких прав в системе.

Разработчики системы управления содержимым Drupal, в настоящее время используемой более 1,1 млн web-сайтов, выпустили новые версии ПО 7.39 и 6.37, устраняющие ряд брешей.

Согласно бюллетеню безопасности Drupal, первая брешь представляет собой XSS-уязвимость в 7 ветке, которая может быть проэксплуатирована злоумышленниками для осуществления атак. Брешь не затрагивает версию Drupal 6 и не может быть проэксплуатирована на сайтах, не разрешающих ввод HTML не доверенным пользователям.

Следующая XSS-брешь, затрагивающая обе версии Drupal 6 и 7, существует в функции автозаполнения форм из-за того, что очистка запрошенного URL не происходит должным образом. Данная брешь может быть проэксплуатирована только атакующими с правами на загрузку файлов.

Еще одна уязвимость, которой подвержены все версии Drupal 7, позволяет выполнить произвольный SQL-запрос в базу данных Drupal, не имея никаких прав в системе.

В обновлениях Drupal 7.39 и 6.37 также исправлена уязвимость межсайтовой подделки запроса, затрагивающая Form API. Брешь позволяет осуществить загрузку файлов на уязвимом ресурсе, используя учетную запись другого пользователя. Как указали разработчики, данные файлы автоматически удаляются по истечении 6 часов.

Вышеуказанные бреши затрагивают все версии Drupal 6 до 6.37 и Drupal 7 до версии 7.39. В настоящее время этим уязвимостям еще не присвоены идентификаторы CVE.

(via)

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

[Всего голосов: 0    Средний: 0/5]