Drupal ha publicado actualizaciones para las versiones 7 y 8 para hacer frente a los fallos de seguridad que pueden conducir a la divulgación de información, envenenamiento de caché, redirección a sitios de terceros y una condición de denegación de servicio (DoS).
Drupal 7.52 y Drupal 8.2.3 solucionan cuatro vulnerabilidades calificado como "moderadamente crítico" y "menos crítica."
Uno de los problemas más graves que afectan a Drupal 8 puede ser explotado para causar una condición de denegación usando direcciones URL especialmente diseñadas a través del mecanismo de la transcripción, que limpia los nombres de archivo mediante la sustitución de ciertos caracteres, como los que se usan en ruso y griego, con universalmente visualizable US-ASCII caracteres.
Un defecto moderadamente crítico en Drupal 7 puede permitir a los atacantes, en determinadas circunstancias, construir una URL de confirmación de formulario que redirige a los usuarios a sitios web de terceros después de interactuar con el formulario. Esta vulnerabilidad puede ser útil para ataques de ingeniería social.
La forma de restablecimiento de contraseña de usuario en Drupal 8 no especifica un contexto adecuado caché, permitiendo ataques de envenenamiento de caché y el contenido no deseado en la página.
Una vulnerabilidad "menos crítico" que afecta tanto a Drupal 7 y 8 se relaciona con nombres inconsistentes para las consultas con acceso plazo. La cuestión puede conducir a la información en términos de la taxonomía que se da a conocer a los usuarios sin privilegios.
Estos bugs de seguridad fueron descubiertos por investigadores externos y un miembro del equipo de seguridad de Drupal.
No es raro que las vulnerabilidades de Drupal puedan ser explotados en la red. A mediados de septiembre, los expertos advirtieron que un defecto muy crítico parcheado en julio había sido explotado en ataques dirigidos a sitios web de Drupal.
Muchos administradores de sitios web salen de sus instalaciones de Drupal sin parches durante largos períodos de tiempo. Por ejemplo, la vulnerabilidad denominada Drupalgeddon, que los desarrolladores parcheados en octubre de 2014, había aún sido explotada para hackear sitios web de más de 19 meses después.
