Свежие обновления исправили несколько серьезных ошибок в популярной системе управления контентом (CMS) с открытым кодом Drupal. Апдейты коснулись версий 7.х и 8.х.

Разработчики Drupal используют систему ранжирования ошибок Национального института стандартов и технологий США, которая немного отличается от системы CVSS. В частности, кроме «критического» уровня угрозы, в ней существует еще и «крайне критический». Однако даже самые серьезные исправления в последнем релизе за «критическую» отметку не шагнули.

Одна из двух самых тревожных уязвимостей была связана с функцией Drupal.checkPlain(), которая удаляет потенциально вредоносные части кода перед выводом его в HTML. Как выяснилось, процедура работала некорректно, и в ряде случаев пропускала опасные запросы, которые могли использоваться для межсайтового скриптинга (XSS).

Еще одна критическая ошибка позволяла посетителям веб-страниц под управлением Drupal 8 получить доступ к скрытому от них контенту и комментировать его. Уязвимость проявлялась, только если прав пользователя хватало, чтобы оставлять сообщения на сайте, а модуль комментирования был активирован.

Также в новых релизах этой популярной CMS с открытым кодом были исправлены несколько менее серьезных багов для версии Drupal 8. Один из них позволял пользователям с недостаточным уровнем привилегий управлять настройками системы. Другой — некорректно перенаправлял запросы к несуществующим страницам многоязычных сайтов на непереведенную версию контента, что в определенных обстоятельствах давало злоумышленникам возможность обойти ограничения. После установки обновления на многоязычных порталах потребуется обновить таблицу разрешений на доступ к узлам.

Кроме того, две незначительные ошибки были устранены в Drupal 7. Патчи решили проблему с библиотекой jQuery, которая неверно отрабатывала потенциально опасные запросы Ajax. Уязвимость могла привести к выполнению стороннего кода на странице под управлением Drupal. В версии 8.х этот баг подчистили уже давно, теперь очередь дошла и до более раннего варианта платформы. Кроме того, апдейт перекрывает возможность внедрения ссылки на внешний ресурс со страницы 404. К проблеме приводил модуль переключения языков вывода контента.

Таким образом, в версиях 7.57 и 8.4.5 исправлены все найденные уязвимости. Пользователям более старых платформ рекомендуется обновить систему. Если не потребуется срочных апдейтов, релизов ветки 8.4.x больше не будет — выход Drupal 8.5 запланирован на 7 марта.

Не так давно другая бесплатная CMS тоже получила важное исправление: разработчики Joomla избавились от серьезной проблемы, связанной с возможностью внедрения стороннего SQL-кода в систему.

Категории: Уязвимости