آسیب‌پذیری‌های بحرانی در سامانه مدیریت محتوای دروپال

این آسیب پذیری ها منجر به حملات اختلال سرویس و دور زدن احراز هویت می شوند. همچنین چندین آسیب پذیری XSS در این نسخه ها مشاهده شده است. در ذیل جزئیات آسیب‌پذیری‌های مذکور بیان شده اند:

 آسیب‌پذیری اختلال سرویس توزیع شده

ویژگی وب‌ سایت های چندگانه در هسته دروپال، این امکان را فراهم می سازد تا براساس HTTP میزبان، به صورت پویا پرونده‌ پیکربندی را تغییر داد.

 دور زدن احراز هویت

مولفه‌ پرونده در هسته‌ دروپال ۷ وجود دارد و امکان پیوست یک پرونده به محتوا را فراهم می‌کند. این مولفه زمانی که یک پرونده که قبلاً بارگذاری شده، پیوست می‌شود، مجوز دسترسی را بررسی می‌کند و به همین دلیل ممکن است مهاجم بتواند به پرونده‌های خصوصی دسترسی پیدا کند. البته این آسیب‌پذیری زمانی که مهاجم مجوز تغییر و یا ایجاد محتوا را داشته باشد قابل سوء‌استفاده است .

 آسیب‌پذیری XSS مربوط به  Form API

آسیب‌پذیری مذکور در بخش Form API موجود است و مربوط به عدم توانایی این بخش در پاک‌سازی برچسب Group در عناصر انتخاب‌شده است. این آسیب‌پذیری به صورت مستقیم دروپال ۶ را تخت تاثیر قرار می‌دهد و در دروپال ۷ زمانی که فرم‌ها با استفاده از مولفه‌های سفارشی ساخته شده باشند قابل سوء‌استفاده است.

 آسیب‌پذیری  XSS سامانه‌  Ajax

آسیب‌پذیری XSS در برخی از فرم‌ها که دارای فیلدهای با گزینه‌ی فعال Ajax مانند فیلد‌هایی که امکان کامل شدن خودکار2 دارند، وجود دارد.

محققان امنیتی توصیه می کنند که  تمام نسخه‌های Drupal 6.x و Drupal 7.x باید به ترتیب نسخه‌ جدید‌تر Drupal core 6.32 و Drupal core 7.29  را دریافت کنند.