Populære open source content management system Drupal udgivet sine nye versioner 6.36 og 7.38 at oprette en liste over sårbarheder. En af disse sårbarheder viser op til at være betydelig, da den omdannes til angriberen, der overtager administratorkonti.
CVE-2015-3234 i OpenID Modul
Den Drupal Sikkerhedsteamet påpeget i en rådgivende at CVE-2015-3234 blev fundet i OpenID-modulet. Det modul giver adgang til en hacker at komme ind på site som andre brugere, også som administratorer, og kaprer deres konti. Den CVE-2015-3234 fejl er forsonet med, at offeret skal have en konto hos en identificeret OpenID status fra et bestemt sæt af OpenID udbydere såsom Verisign, LiveJournal eller StackExchange.
Eksperter har også fundet tre andre mindre kritiske fejl i Drupal s Versioner
En af dem er fejl CVE-2015-3232. Det handler om websteder, der bruger Drupal 7 Field ID modul. Påvirkede websteder ved denne sårbarhed omdirigere brugere til potentielt skadeligt tredjeparts websted efter efterbehandling fra en handling på administrator-sider. Denne sårbarhed påvirker ikke Drupal 6 men bruger en lignende åben omdirigering fejl, der involverer Content Construction Kit (CCK).
En anden fejl er CVE-2015-3233. Det drejer sig svage valideringskontroller i dækmodulet ledende til et andet åbent direkte hul til hjemmesider, der har gjort det muligt at ’få adgang til administrative overlay’ autorisation, der vil dække sider som JavaScript.
Den sidste sårbarhed kaldes CVE-2015-3231 og kunne gemme følsomme data, som forbliver synligt for en ikke-privilegeret primær bruger (bruger 1). CVE-2015-3231 er i en informations detektering hul i Drupal 7. Det påvirker kun websteder, der bruger Render Cache modul eller identiske brugerdefineret kode, så risikoen fra dette hul er ikke så alarmerende. Systemet genkender tildelt bruger 1 som ikke-admin konto og kræver at gøre forskellige standardkonfiguration.
Drupal udvikler hold rådgiver brugere til at opdatere Drupal til versioner 6.36 og 7.38.