В ядре CMS-системы Drupal пропатчены пять уязвимостей; две из них позволяют удаленно выполнить произвольный код. Заплатки включены в состав выпусков 7.60, 8.6.2 и 8.5.8.

Одна из уязвимостей высокой степени опасности проявляется при отправке email-сообщений с использованием дефолтных настроек. Согласно описанию, она возникла из-за плохой очистки переменных от аргументов шелл-скриптов при выполнении функции DefaultMailSystem::mail().

Другая опасная уязвимость крылась в модуле Contextual Links ядра Drupal 8; ее причиной является «неадекватная валидация запрошенных контекстных ссылок». Чтобы воспользоваться этой брешью, автор атаки должен иметь разрешение на доступ к таким ссылкам.

Остальные уязвимости получили оценку «умеренно опасная». Это обход прав доступа с целью модерирования контента, возможность внедрения внешних ссылок (требует наличия особых разрешений) и открытый редирект, который можно использовать анонимно для проведения атак с элементами социальной инженерии. Согласно бюллетеню Drupal, детали последней бреши уже известны широкой общественности.

Разработчики также подчеркнули, что изменения, привнесенные ими для устранения обхода прав модератора, меняют процедуру валидации, поэтому после установки патча обратная совместимость Drupal будет нарушена.

Чтобы избавиться от новых проблем, пользователям Drupal 7.x нужно произвести обновление до сборки 7.60, Drupal 8.6.x — до 8.6.2, Drupal 8.5.x — до 8.5.8. Неподдерживаемые выпуски CMS-системы (ниже 8.5.x) рекомендуется в кратчайшие сроки заменить, установив Drupal 8.5.8. Пользователям также напоминают, что дедлайн на выпуск патчей для ветки 8.5.x не за горами — этот поток иссякнет в мае будущего года.

Категории: Уязвимости