В Drupal устранена опасная уязвимость

Для успешной атаки жертва должна иметь учетную запись у определенного OpenID-провайдера. В новой версии популярной совокупности управления контентом Drupal был устранен последовательность уязвимостей, из которых только одна (CVE-2015-3234) взяла критический рейтинг опасности. Согласно данным разработчиков, брешь разрешает атакующему удаленно захватить контроль над чужой учетной записью с административными правами доступа.

«Уязвимость, распознанная в модуле OpenID, разрешает потенциальному преступнику авторизоваться в совокупности от имени администратора, - направляться из уведомления разработчиков. К тому же, для успешной атаки жертва должна иметь учетную запись, ассоциированную с OpenID-провайдером (к примеру, Verisign, LiveJournal, StackExchange и рядом вторых)».

Три другие уязвимости в Drupal имеют меньший рейтинг опасности по причине того, что применить их на протяжении нападения на порядок сложнее. Однако, потенциальный вред от эксплуатации этих брешей довольно большой. К примеру, неточность в модуле Field UI разрешает преступникам при соблюдении последовательности условий применять параметр «destinations» для перенаправления пользователя на произвольный web-сайт. Разработчики Drupal советуют установить исправления безопасности, обновив версию CMS до 6.36 либо 7.38.