První problém způsobuje, že pomocí speciálně upravené webové stránky je možno odeslat obsah formulářů na web s Drupalem. Pokud budete třeba přihlášeni jako administrátor a navštívíte jinou webovou stránku, její "úprava" může způsobit, že pod administrátorským přístupem provede odeslání některých příkazů.
Druhý problém byl označen jako méně kritický a umožňuje pomocí speciálně upraveného URL přesměrovat údaje z formulářů na Drupalovi na web třetí strany.
Oba problémy se týkají jak řady 4.7.x tak 4.6.x. Řeší je bezpečnostní oprava v podobě celého balíčku s Drupalem; použít můžete také patch:
- Drupal 4.6.10 (http://ftp.osuosl.org/pub/drupal/files/projects/drupal-4.6.10.tar.gz)
- Drupal 4.7.4 (http://ftp.osuosl.org/pub/drupal/files/projects/drupal-4.7.4.tar.gz)
- Patch pro Drupal 4.6.9 (https://www.drupal.org//files/sa-2006-026/4.6.9.patch)
- Patch pro Drupal 4.7.3 (https://www.drupal.org//files/sa-2006-026/4.7.3.patch)
Tvůrce webů z Brna se specializací na Drupal, WordPress a Symfony. Acquia Certified Developer & Site Builder. Autor několika knih o Drupalu.
Web Development Director v Lesensky.cz. Ve volných chvílích podnikám výlety na souši i po vodě. Více se dozvíte na polzer.cz a mém LinkedIn profilu.
Přidat komentář