جدیدترین نسخهی منتشرشده برای سیستم مدیریت محتوای دروپال، با وصلهی آسیبپذیریهای اسکریپتنویسی میانوبگاهی و Open Redirect که با شدت نسبتاً بحرانی رتبهبندی شدهاند، همراه است.
طبق گزارشها، در نسخهی ۷٫۷۰ دروپال یک آسیبپذیری تغییر Open Redirect مربوط به اعتبارسنجی ناکافیِ پارامتر جستجوی مقصد در تابع ()drupal_goto وصله شده است. به گفتهی دروپال، مهاجم میتواند با بهرهبرداری از این نقص و ترغیب کاربران برای کلیک بر روی یک لینک طراحیشده، آنها را به سمت URL دلخواه هدایت کند.
از سوی دیگر، در جدیدترین نسخهی دروپال دو آسیبپذیری اسکریپتنویسی میانوبگاهی نیز که در پروژهی jQuery وجود دارند، وصله شدهاند. توسعهدهندگان jQuery این آسیبپذیریها را ماه گذشته و با انتشار نسخهی ۳٫۵٫۰ وصله کرده بودند. حال، دروپال نیز با هدف جلوگیری از بهرهبرداریهای احتمالی، نسخهی jQuery خود را بهروز کرده است.
علاوهبراین، نسخههای ۸٫۸ و ۸٫۷ دروپال نیز تحت تأثیر این آسیبپذیریهای اسکریپتنویسی میانوبگاهی قرار دارند که این مشکل، با انتشار نسخههای ۸٫۸٫۶ و ۸٫۷٫۱۴ برطرف شده است.
این دومین بهروزرسانی امنیتی منتشرشده توسط دروپال در سال ۲۰۲۰ میلادی است. در ماه مارس، این شرکت از وصلهکردن چند آسیبپذیری نسبتاً بحرانی از نوع اسکریپتنویسی میانوبگاهی، که ویرایشگر متنباز WYSIWYG در CKEditor را تحت تأثیر قرار میدادند، خبر داده بود.
درحالیکه سیستم مدیریت محتوای دروپال به اندازهی وردپرس هدف حملهی مهاجمان قرار نمیگیرد، اما نفوذگرها همچنان از آسیبپذیریهای موجود در آن برای سرقت وبسایتها بهرهبرداری میکنند.