В релизах Drupal устранена серия уязвимостей

Одна из них разрешает выполнить произвольный SQL-запрос в базу данных Drupal, не имея никаких прав в совокупности. Разработчики совокупности управления содержимым Drupal, Сейчай применяемой более 1,1 млн web-сайтов, выпустили новые версии ПО 7.39 и 6.37, ликвидирующие последовательность брешей. 

огласно бюллетеню безопасности Drupal, первая брешь представляет собой XSS-уязвимость в 7 ветке, которая возможно проэксплуатирована преступниками для осуществления атак. Брешь не затрагивает версию Drupal 6 и не может быть проэксплуатирована на сайтах, не разрешающих ввод HTML не доверенным пользователям. Следующая XSS-брешь, затрагивающая обе версии Drupal 6 и 7, существует в функции автозаполнения форм по причине того, что очистка запрошенного URL не происходит подобающим образом. Эта брешь возможно проэксплуатирована лишь атакующими с правами на загрузку файлов. 

Еще одна уязвимость, которой подвержены все версии Drupal 7, разрешает выполнить произвольный SQL-запрос в базу данных Drupal, не имея никаких прав в совокупности. В обновлениях Drupal 7.39 и 6.37 также исправлена уязвимость межсайтовой подделки запроса, затрагивающая Form API. Брешь разрешает осуществить загрузку файлов на уязвимом ресурсе, применяя учетную запись другого пользователя. Как указали разработчики, эти файлы машинально удаляются по окончании 6 часов. Указанные выше бреши затрагивают все версии Drupal 6 до 6.37 и Drupal 7 до версии 7.39. Сейчай этим уязвимостям еще не присвоены идентификаторы CVE.