Novas atualizações no Drupal corrigem vulnerabilidades de segurança significativas

Drupal

Novas versões atualizadas foram anunciadas para o Drupal 6 e 7, que incluem alterações relacionadas à segurança e corrigem grandes vulnerabilidades, uma das quais poderia permitir que um invasor em potencial redefinisse a conta de um usuário sem usá-la. Senha.

A vulnerabilidade pode ser explorada, sob certas condições, através do uso de URLs especialmente projetados para redefinir senhas (Redefinir URL da senha). Um invasor remoto pode enganar um usuário registrado, por exemplo um administrador, forçando-o a visitar um link malicioso para controlar o servidor.

Nem todos os sites são afetados

A exploração do vácuo de segurança em Drupal 7 só é possível no caso de sites em que o banco de dados contém o mesmo hash de senha para várias contas. O risco é maior para sites em execução Drupal 6, às quais os administradores criaram várias contas de usuário protegidas pela mesma senha.

“Os sites do Drupal 6 que possuem hashes de senha vazios ou um campo de código com sequência facilmente previsível no banco de dados são particularmente propensos a essa vulnerabilidade. Isso pode ser aplicado a sites que usam sistemas de autenticação externos, para que o campo da senha seja definido como um valor fixo e inválido ”, afirmou Drupal em comunicado.

Redefinir para sites de terceiros

Essa não é a única vulnerabilidade nas versões 7.35 e 6.35 do DrupaI, pois as versões anteriores do CMS (sistema de gerenciamento de conteúdo de código aberto) também são vulneráveis ​​a vulnerabilidades de redirecionamento aberto (vulnerabilidades de redirecionamento aberto). cibercriminosos para redirecionar usuários para sites maliciosos.

[alert variation=”alert-info”]Em 8 de março, de acordo com as estatísticas fornecidas pela DrupaI, mais de 162.000 sites executando o DrupaI 6.xe cerca de 1 milhão de sites baseados no DrupaI 7.x foram registrados. [/alert]

Para evitar qualquer risco potencial, os webmasters da DrupaI são aconselhados a recorrer às versões mais recentes da plataforma, atualizando imediatamente.