Выпущены обновления для седьмой и восьмой версий системы управления контентом Drupal, исправляющие серьезные уязвимости. Используя данные ошибки, хакеры могут повышать свои привилегии.
Уязвимость в модуле User, затрагивающая Drupal 7, дает зарегистрированному пользователю возможность присваивать себе на сайте любой статус. При желании можно стать и администратором сайта. Для этого необходимо внедрить в сайт код, запускающий процесс повторной генерации формы редактирования профиля пользователя во время ее сохранения.
Источником существования уязвимости является модуль Views, с помощью которого можно создавать, редактировать и отображать списки контента. Ошибка, которая позволяет обходить ограничения доступа, присутствует в Drupal 7 и 8. Благодаря этой ошибке пользователь может ознакомиться с данными из модуля Statistics даже в том случае, если доступ к этой информации запрещен.
Чтобы устранить уязвимость повышения привилегий в модуле User, необходима инсталляция Drupal 7.44. Для ликвидации уязвимости в модуле Views пользователям восьмой версии нужно установить Drupal 8.1.3. В случае с седьмой версией нужно произвести обновление модуля Views до версии 7.3.14.