Populære open source content management system Drupal lansert sin nye versjoner 6.36 og 7.38 som setter en liste over sårbarheter. En av disse sikkerhetsproblemene viser seg å være viktig som den forvandles til angriperen som tar over administratorkontoer.
CVE-2015-3234 i OpenID Module
Drupal sikkerhet team påpekte i en rådgivende som CVE-2015-3234 ble funnet i OpenID-modulen. Det modul gir tilgang til en angriper å gå inn på nettstedet som andre brukere, også som administratorer, og kaprer sine kontoer. Den CVE-2015-3234 feil blir conciliated ved det faktum at offeret må ha en konto hos en identifisert OpenID status fra et bestemt sett av OpenID leverandører som for eksempel VeriSign, Livejournal eller StackExchange.
Eksperter har også funnet tre andre mindre kritiske mangler i Versjoner Drupal
En av dem er feil CVE-2015-3232. Det handler om nettsteder som bruker Drupal 7 Felt-ID-modulen. Berørte områder av dette sikkerhetsproblemet omdirigere brukere til potensielt skadelig tredjeparts nettsted etter fullføring av en handling på administratorsidene. Dette sikkerhetsproblemet påvirker ikke Drupal 6 men bruker et lignende åpen omdirigering feil som involverer Content Construction Kit (CCK).
En annen svakhet er CVE-2015-3233. Det dreier seg om svake valideringskontroller i dekslet modulen gjennomfører en annen åpen direkte hull for nettsteder som har aktivert ‘få tilgang til forvaltningslegget’ autorisasjon som vil dekke sider som Javascript.
Den siste sårbarhet kalles CVE-2015-3231 og kunne gjemme sensitive data som forblir synlig for en ikke-priviligert primære brukeren (bruker 1). CVE-2015-3231 er i en informasjonsdeteksjons hull i Drupal 7. Det påvirker bare nettsteder som bruker Render Cache-modulen eller identisk definert kode, slik at risikoen fra det hullet ikke er så alarmerende. Systemet gjenkjenner tildelt bruker 1 som ikke-administratorkontoen og krever å gjøre forskjellige standardkonfigurasjon.
Drupal utvikler teamet råder brukere til å oppdatere Drupal til versjoner 6.36 og 7.38.