Populär öppen källkod content management system Drupal släppt sin nya versioner 6.36 och 7.38 att ställa in en lista över sårbarheter. En av dessa sårbarheter dyker upp för att vara betydande eftersom det förvandlas till angriparen som tar över administratörskonton.
CVE-2015-3234 i OpenID modul
Drupal säkerhetsteam påpekade i en rådgivande som CVE-2015-3234 hittades i OpenID-modulen. Denna modul ger tillgång till en illvillig användare att komma in på sajten som andra användare, också som administratörer, och kapar sina konton. CVE-2015-3234 fel är conciliated av det faktum att offret måste ha ett konto med en identifierad OpenID status från en särskild uppsättning OpenID leverantörer som Verisign, LiveJournal eller StackExchange.
Experter har också funnit tre andra mindre kritiska brister i Drupal s Versioner
En av dem är fel CVE-2015-3232. Det handlar om webbplatser som använder Drupal 7 Fält ID-modul. Berörda webbplatser genom denna sårbarhet omdirigera användare till potentiellt skadlig tredje part webbplats efter slog en åtgärd på administratörssidor. Denna sårbarhet påverkar inte Drupal 6 men använder en liknande öppen redirect fel som innebär att innehålls Construction Kit (CCK).
Annan brist är CVE-2015-3233. Den hänför sig till svaga valideringskontroller i täckmodulen utför en annan öppen direkt hål för webbplatser som har möjliggjort tillgång administrativa över’ tillstånd som kommer att täcka sidorna som JavaScript.
Den sista sårbarhet kallas CVE-2015-3231 och kunde dölja känsliga uppgifter som stannar synlig för en icke-privilegierad primära användaren (användare 1). CVE-2015-3231 är i ett informationsdetekteringshålet i Drupal 7. Det påverkar bara webbplatser som använder Render Cache modul eller identiska anpassad kod, så risken från att hålet inte är så alarmerande. Systemet känner igen delad användaren 1 som icke-administratörskonto och kräver att olika standardkonfiguration.
Drupal utvecklare laget råder användare att uppdatera Drupal till versioner 6.36 och 7.38.