Popolare sistema di gestione dei contenuti open source Drupal ha pubblicato le sue nuove versioni 6.36 e 7.38 che impostare un elenco di vulnerabilità. Una di queste vulnerabilità si presenta per essere significativo in quanto si trasforma in l'attaccante che prende il sopravvento account amministratore.
CVE-2015-3234 nel modulo OpenID
Il team di sicurezza di Drupal ha sottolineato in un advisory che CVE-2015-3234 è stato trovato nel modulo OpenID. Questo modulo fornisce l'accesso a un utente malintenzionato di accedere al sito, come altri utenti, anche come amministratori, e dirotta i loro conti. La falla CVE-2015-3234 viene conciliata con il fatto che la vittima deve avere un conto con uno status OpenID identificato da un particolare insieme di provider OpenID come ad esempio Verisign, LiveJournal o StackExchange.
Gli esperti hanno anche trovato tre altri difetti meno critica nelle versioni di Drupal
Uno di loro è difetto CVE-2015-3232. Si tratta di siti web che utilizzano Drupal 7 Modulo campo ID. siti interessati da questa vulnerabilità reindirizzare gli utenti a potenzialmente dannoso sito di terze parti dopo aver terminato fuori un'azione su pagine di amministratore. Questa vulnerabilità non interessa Drupal 6 ma utilizza un simile aperto difetto di reindirizzamento che coinvolge il Kit di Content Construction (CCK).
Un altro difetto è CVE-2015-3233. Si riferisce a controlli di convalida deboli nel modulo di copertura che conducono ad un altro buco diretta aperto per i siti web che hanno permesso l' ‘accesso alla sovrapposizione amministrativo’ autorizzazione che coprirà le pagine come JavaScript.
L'ultima vulnerabilità è chiamato CVE-2015-3231 e potrebbe nascondere i dati sensibili che rimane visibile per un utente principale non privilegiato (utente 1). CVE-2015-3231 è in un foro di rilevamento dati in Drupal 7. Essa colpisce solo i siti che utilizzano il modulo di rendering cache o codice personalizzato identico, quindi il rischio che il foro non è così allarmante. Il sistema riconosce utente assegnato 1 come account non-admin e richiede facendo configurazione predefinita differente.
Drupal team di sviluppo consiglia agli utenti di aggiornare Drupal per versioni 6.36 e 7.38.