Populaire open source content management systeem Drupal vrijgegeven van haar nieuwe versies 6.36 en 7.38 dat een lijst van kwetsbaarheden stellen. Een van deze kwetsbaarheden verschijnt significant te zijn als het verandert in de aanvaller dat meer dan beheerdersaccounts neemt.
CVE-2015-3234 in OpenID Module
De Drupal security team heeft er in een advies dat CVE-2015-3234 werd gevonden in de OpenID module. Dat module geeft toegang tot een kwaadwillende gebruiker naar de site, net als andere gebruikers in te voeren, Ook administrateurs, en kaapt hun rekeningen. De CVE-2015-3234 fout wordt verzoend doordat het slachtoffer een rekening bij een geïdentificeerde OpenID toestand moet een bepaalde reeks OpenID aanbieders zoals Verisign, LiveJournal of StackExchange.
Experts hebben ook gevonden Drie andere, minder kritieke fouten in versies van Drupal
Een van hen is fout CVE-2015-3232. Het gaat om websites die Drupal gebruiken 7 Veld ID module. Beïnvloed plaatsen door dit beveiligingslek worden de gebruikers om potentieel schadelijke site van derden na afwerking van een actie op administrator pagina's. Deze kwetsbaarheid heeft geen invloed op Drupal 6 maar maakt gebruik van een soortgelijke geopend omleiding fout die de Content Construction Kit impliceert (CCK).
Een ander minpunt is CVE-2015-3233. Het gaat om zwakke validatiecontroles in het deksel module uitvoeren naar een andere geopende directe gat voor websites die in staat hebben gesteld de ‘toegang tot de administratieve overlay’ machtiging die pagina's als JavaScript dekt.
De laatste kwetsbaarheid heet CVE-2015-3231 en kon gevoelige gegevens die toegankelijk blijft voor een niet-bevoorrechte primaire gebruiker verbergen (gebruiker 1). CVE-2015-3231 is een informatie zichtboring in Drupal 7. Het heeft alleen invloed op sites die de module Render Cache of identieke aangepaste code gebruiken, zodat het risico van dat gat is niet zo verontrustend. Het systeem herkent aangemelde gebruiker 1 als niet-admin-account en vereist het maken van verschillende standaardconfiguratie.
Drupal developer team adviseert gebruikers om een Drupal updaten naar versie 6.36 en 7.38.