توسعهدهندگان دروپال چند آسیبپذیری را در دروپال ۷ و ۸ وصله کردند. مهاجم میتوانست با بهرهبرداری از آنها به اجرای کد از راه دور بپردازد. یکی از این آسیبپذیریها با درجهی اهمیت بحرانی، ماژول Contextual Links را تحت تاثیر قرار میدهد که در اعتبارسنجی این نوع از درخواستها با مشکل مواجه است. مهاجم با بهرهبرداری از این آسیبپذیری میتواند به اجرای کدهای دلخواه پرداخته فقط برای بهرهبرداری باید مجوزهای access contextual links را دارا باشد.
یکی دیگر از آسیبپذیریهای بحرانی در تابع DefaultMailSystem::mail() وجود دارد مشکل از جایی ناشی میشود که برخی متغییرها در آرگومانهای شِل به درستی مقداردهی اولیه نشدهاند و این اشکال در زمان ارسال ایمیل رخ میدهد. لازم به ذکر است که در دروپال درجهی اهمیت آسیبپذیریها به ترتیب فوق بحرانی، بحرانی و نسبتا بحرانی است. به جز این ۲ آسیبپذیری بحرانی، ۳ آسیبپذیری نسبتا بحرانی دیگر در دروپال وصله شده است. یکی از آسیبپذیریها از نوع دور زدن دسترسیها و دو مورد دیگر آسیبپذیری هدایت باز هستند.
یکی از آسیبپذیریهای هدایت باز، پیش از انتشار وصله، بهطور عمومی افشاء شده بود. توسعهدهندگان دروپال نیز هشدار دادند که تغییرات اعمال شده به منظور برطرف کردن ضعف دور زدن دسترسی میتوانند پیامد سازگاری رو به عقب داشته باشد. تمامی این آسیبپذیریها با انتشار دروپال نسخههای ۷٫۶۰، ۸٫۶٫۲ و ۸٫۵٫۸ وصله شدهاند. در سال گذشته شاهد بودیم که آسیبپذیریهای دروپال به سرعت در دنیای واقعی مورد بهرهبرداری قرار میگیرند. از این رو به مدیران وبسایتها توصیه میشود هرچه سریعتر بهروزرسانیها را دریافت و نصب کنند.
