sistema de gerenciamento de conteúdo de código aberto Drupal Popular lançou suas novas versões 6.36 e 7.38 que definir uma lista de vulnerabilidades. Uma dessas vulnerabilidades mostra-se para ser significativo, pois transforma o atacante que assume contas de administrador.
CVE-2015-3234 no módulo OpenID
A equipe de segurança Drupal apontou em um comunicado que a CVE-2015-3234 foi encontrado no módulo OpenID. Este módulo dá acesso a um usuário malicioso para entrar no site como outros usuários, também como administradores, e seqüestra suas contas. A falha CVE-2015-3234 é conciliada com o fato de que a vítima deve ter uma conta com um status OpenID identificados a partir de um determinado conjunto de prestadores de OpenID, como Verisign, LiveJournal ou Stackexchange.
Especialistas também encontraram Três outras falhas menos crítica em versões do Drupal
Um deles é falha CVE-2015-3232. Trata-se de sites que utilizam o Drupal 7 módulo de campo ID. locais afetados por esta vulnerabilidade redirecionar os usuários para site de terceiros potencialmente maliciosos depois de terminar uma ação em páginas de administrador. Esta vulnerabilidade não afeta o Drupal 6 mas usa uma falha de redirecionamento aberto similar que envolve o Kit Content Construction (CCK).
Outra falha é CVE-2015-3233. Relaciona-se com as verificações de validação fracos no módulo de cobertura de realização de outro buraco direto aberto para sites que têm permitido o ‘acesso a sobreposição administrativa’ autorização que vai cobrir páginas como JavaScript.
A última vulnerabilidade é chamado CVE-2015-3231 e poderia ocultar os dados sensíveis que fica visível para um usuário primário não privilegiado (do utilizador 1). CVE-2015-3231 é em um orifício de detecção de informação em Drupal 7. Ela afeta apenas os sites que usam o módulo de renderização de cache ou código personalizado idêntico, por isso o risco de que buraco não é tão alarmante. O sistema reconhece usuário atribuído 1 como conta de não-admin e requer a realização de configuração padrão diferente.
equipe de desenvolvedores Drupal aconselha os usuários a atualizar Drupal para versões 6.36 e 7.38.