ניהול תוכן בקוד פתוח פופולרי מערכת דרופל שוחרר גרסאות חדשות שלה 6.36 ו 7.38 כי להגדיר רשימה של נקודות תורפה. אחת מנקודות התורפה אלה מופיע להיות משמעותיים כפי שהוא הופך התוקף כי משתלט חשבונות המנהל.
CVE-2015-3234 ב מודול OpenID
צוות האבטחה של דרופל ציין מייעצת כי CVE-2015-3234 נמצאה במודול OpenID. מודול זה נותן גישה למשתמש זדוני להיכנס לאתר כמו משתמשים אחרים, גם כמנהלים, ו חוטף את חשבונותיהם. פגם CVE-2015-3234 הוא יוסדר על ידי העובדה כי הקורבן חייב להיות בעל חשבון עם מצב OpenID מזוהה מקבוצה מסוימת של ספקי OpenID כגון VeriSign, LiveJournal או StackExchange.
מומחים מצאו גם שלושת האחרים פחות פגמים קריטיים גרסאות של Drupal
אחד מהם הוא-2015-3232 CVE פגם. זה עניין של אתרים שמשתמשים Drupal 7 מודול זיהוי שדה. אתרי מושפע מפגיעות זו לכוון את המשתמשים לאתר של צד שלישי זדוני לאחר שסיים את פעולה בדפי מנהל. פגיעות זו אינה משפיעה Drupal 6 אבל משתמש פגם הפניה פתוח דומה המערב את ערכת בניית התוכן (CCK).
פגם נוסף הוא CVE-2015-3233. זה מתייחס בדיקות אימות חלשות במודול כיסוי ניצוח למשנו חור ישיר פתוח עבור אתרי אינטרנט אשר אפשרו "לגשת הכיסוי המנהלי’ אישור כי יכסה דפים כמו JavaScript.
נקודת החולשה האחרונה נקראת CVE-2015-3231 ויכולה להסתיר מידע רגיש שנשאר גלוי עבור משתמש עיקרי שאינו חסוי (המשתמש 1). CVE-2015-3231 נמצא חור איתור מידע דרופל 7. זה משפיע רק לאתרים להשתמש במודול מטמון Render או קוד מותאם אישית זהה, כך הסיכון מאותו החור הוא לא כל כך מדאיג. המערכת מזהה את המשתמש שהוקצה 1 בתור חשבון לא מנהל ומחייב ביצוע תצורת ברירת מחדל שונה.
צוות המפתחים Drupal מייעץ למשתמשים לעדכן Drupal לגרסאות 6.36 ו 7.38.