De makers van het contentmanagementsysteem Drupal hebben een update uitgebracht die meerdere ernstige kwetsbaarheden patcht. Volgens het Computer Emergency Readiness Team van de Amerikaanse overheid zou een aanvaller in het ergste geval volledig controle over een website kunnen krijgen.
Via de kwetsbaarheden kan een aanvaller het uploaden van bestanden blokkeren, brute force-aanvallen uitvoeren, injectie-aanvallen uitvoeren, gebruikers willekeurige bestanden met json-content laten downloaden, open redirects gebruiken, gebruikers alle gebruikersrollen toekennen en de gebruikersnaam die bij e-mailadressen hoort achterhalen. De kwetsbaarheden zijn aanwezig in versies 6, 7 en 8 van Drupal. Gebruikers krijgen dan ook het advies te upgraden naar Drupal 6.38, 7.43 of 8.0.4. Volgens onderzoek zou twee procent van alle websites op internet op Drupal draaien.
Deze posting is gelocked. Reageren is niet meer mogelijk.