Webové stránky založené na populárnom rámci na správu obsahu s otvoreným zdrojom, Drupal, hosťujú a vysoko kritická zraniteľnosť, ktorá ich ponecháva otvoreným útokom a úplnému prevzatiu. Vývojári Drupalu už upozornili používateľov na závažnú zraniteľnosť pri spúšťaní kódu ovplyvňuje viac ako milión webových stránoka tiež vydali bezpečnostnú opravu pre rôzne verzie Drupalu.
Vývojársky tím Drupal označil túto zraniteľnosť za veľmi kritickú a údajne umožňuje hackerom prevziať úplnú kontrolu nad webovou stránkou založenou na Drupale jednoduchou jej návštevou. „V rámci viacerých podsystémov Drupalu 7.xa 8.x existuje chyba zabezpečenia vzdialeného spúšťania kódu. To potenciálne umožňuje útočníkov na zneužitie viacerých útočných vektorov na lokalite Drupal, čo by mohlo viesť k úplnému zničeniu lokality kompromitovaný“, prečítajte si oficiálne bezpečnostné odporúčanie Drupalu o tejto zraniteľnosti.
Objavené počas bezpečnostného auditu stránok Drupal, na zneužitie zraniteľnosti sa nevyžaduje žiadne privilégium,
ktorý ponecháva všetky neverejné údaje uložené na webovej stránke prístupné komukoľvek. Okrem toho je možné všetky systémové údaje upravovať resp vymazané ak sa niekomu podarí spustiť exploit kód. Postihnuté sú všetky webové stránky s Drupal 8, 7 a 6, čo predstavuje približne 9 % všetkých stránok s Drupal CMS, ktorých počet sa pohybuje okolo jedného milióna.Tím vývojárov vydal novú aktualizáciu zabezpečenia pre nasledujúce zostavy:
- Drupal 7.x: Používatelia by mali upgradovať na Drupal 7.58
- Drupal 8.5.x: Používatelia by mali upgradovať na Drupal 8.5.1
Bola vydaná aj samostatná bezpečnostná záplata na opravu tejto zraniteľnosti pre prípad, že používatelia zlyhajú pri inštalácii nových aktualizácií Drupalu. Navyše, pre menšie vydania, ktoré už tím Drupal nepodporuje, bola vydaná aj nová aktualizácia a bezpečnostná záplata „vzhľadom na potenciálnu závažnosť problému“.
- Drupal 8.3.x: Inovujte na Drupal 8.3.9
- Drupal 8.4.x: Inovujte na Drupal 8.4.6
Používateľom, ktorí používajú ešte staršie verzie Drupalu, sa odporúča upgradovať na najnovšiu verziu, s výnimkou Drupalu 6, ktorému už skončila oficiálna doba podpory. Našťastie zatiaľ neboli hlásené žiadne útoky, pri ktorých by bola zneužitá vyššie uvedená zraniteľnosť.
