توسعهدهندگان سیستم مدیریت محتوای دروپال با انتشار بهروزرسانیهای جدید، چندین آسیبپذیری از جمله نقصی که میتواند اجرای کد PHP دلخواه را برای مهاجم فراهم کند، وصله کردهاند.
این آسیبپذیری اجرای کد که با شناسهی CVE-2020-13664 ردیابی میشود، میتواند تحت شرایط خاص در نسخههای ۸ و ۹ دروپال مورد بهرهبرداری قرار بگیرد. به گفتهی توسعهدهندگان دروپال، این آسیبپذیری سرورهای ویندوز را تحت تأثیر قرار میدهد. مهاجم میتواند با فریب مدیر برای بازدید از یک وبسایت مخرب، یک دایرکتوری به دقت نامگذاریشده را در سیستم فایل ایجاد کند. با استفاده از این دایرکتوری، مهاجم میتواند حملهی جستجوی فراگیری را برای بهرهبرداری از این آسیبپذیری راهاندازی کند.
این حفرهی امنیتی با شدت «بحرانی» رتبهبندی شده است، اما شایان ذکر است که دروپال از سیستم امتیازدهی CMSS مربوط به NIST استفاده میکند. به این معنا که در این سیستم، امتیازدهی به آسیبپذیریها از صفر تا ۲۵ بوده و شدت «بحرانی»، بعد از شدت «بسیار بحرانی» قرار دارد.
یکی دیگر از آسیبپذیریهای بحرانی وصلهشده توسط دروپال، با شناسهی CVE-2020-13663 ردیابی شده و نسخههای ۷، ۸ و ۹ دروپال را تحت تأثیر قرار میدهد. مهاجم میتواند این آسیبپذیری را برای راهاندازی حملات جعل درخواست میانوبگاهی مورد بهرهبرداری قرار دهد. به گفتهی دورپال، Form API اصلی این سیستم مدیریت محتوا نمیتواند ورودی فرمهای خاص از درخواستهای میانوبگاهی را بهدرستی هندِل کند، بنابراین، منجر به ایجاد آسیبپذیریهای دیگری میشود.
در نهایت، دروپال از وصلهی یک آسیبپذیری با شدت «less critical» خبر داد. این آسیبپذیری که از نوع دورزدن دسترسی است، نسخههای ۸ و ۹ دروپال را تحت تأثیر قرار میدهد. به گفتهی دروپال، درخواستهای JSON:API PATCH ممکن است اعتبارسنجی برای فیلدهای خاص را دور بزنند. در حالت پیشفرض، JSON:API در حالت read_only کار میکند که این موضوع، بهرهبرداری از این آسیبپذیری را غیرممکن میکند. بنابراین، تنها وبسایتهایی که در بخش پیکربندی jsonapi.settings، حالت read_only را بر روی FALSE تنظیم کردهاند، نسبت به این اشکال آسیبپذیر هستند.