Новые уязвимости в Drupal

17 октября на официальном сайте разработчиков Drupal появилось уведомление об обнаружении нескольких уязвимостей в ядре CMS. Думаю, все пользователи Drupal еще помнят о подобной ситуации в феврале-марте 2018 года, а многие еще и пострадали в результате взломов. И вот опять нужно срочно бежать обновляться, чтобы спать спокойно.

Давайте подробнее остановимся, какие именно уязвимости были найдены

1. Повышение привилегий. В некоторых условиях не может быть проверен доступ пользователей к использованию определенных переходов, что приведет к повышению привилегий пользователя, то есть получению им доступа к разделам, к которым он не должен иметь доступ.
2. Открытый редирект. Один из модулей позволяет пользователям создавать красивые URL-адреса для страниц. В определенных обстоятельствах пользователь может ввести конкретный путь, который запускает перенаправление на вредоносный URL-адрес. Проблема смягчается тем фактом, что пользователю требуется разрешение администратора на использование данного модуля для создания URL.
3. Открытый редирект. Уязвимость позволяет злоумышленнику выполнять удаленные атаки с открытым перенаправлением. Уязвимость существует из-за недостаточной фильтрации данных, переданных через параметр HTTP GET «destination». При помощи специально созданной ссылки, содержащей внешний веб-сайт в параметре «destination», злоумышленник может перенаправить пользователей на новый пункт назначения после завершения действия на текущей странице.
4. Удаленное выполнение кода. При отправке писем с сайта некоторые переменные не подвергаются проверкам, что могло привести к удаленному выполнению кода.
5. Удаленное выполнение кода. Модуль контекстных ссылок недостаточно проверяет запрошенные контекстные ссылки. Эта уязвимость смягчается тем фактом, что злоумышленник должен иметь роль с разрешением «доступ к контекстным ссылкам».

Обновления, исправляющие эти уязвимости уже выпущены, так что всем владельцам сайтов на Drupal настоятельно рекомендуем их установить как можно быстрее.

Для сайтов на Drupal 7.x нужно обновляться до Drupal 7.60.
Для Drupal 8.6.x нужно обновляться до Drupal 8.6.2.
Для Drupal 8.5.x и ниже нужно обновляться до Drupal 8.5.8.

Напоминаем, что перед любыми существенными изменениями стоит создать резервную копию файлов и базы данных сайта.  А если вы вдруг забыли это сделать и что-то пошло не так — пишите в техподдержку и мы восстановим ваши данные из наших бэкапов, которые гарантированно создаются ежедневно и хранятся в течение 7 дней.