В Drupal исправлена критическая уязвимость, позволяющая перехватить управление сайтами
Проблема затрагивает только версию Drupal 8.7.4.
Разработчики системы управления контентом Drupal выпустили обновление, устраняющее уязвимость в ключевом компоненте CMS, с помощью которой злоумышленники могли бы перехватить управление web-сайтами. Проблема затрагивает только версию Drupal 8.7.4. Выпуски Drupal 8.7.3 и младше, Drupal 8.6.x и более ранние, а также Drupal 7.x уязвимости не подвержены. Как пояснили разработчики, при активации экспериментального модуля в Drupal 8.7.4 возникает возможность обойти настройки доступа. Проблема, получившая идентификатор CVE-2019-6342, исправлена в выпуске Drupal 8.7.5.
Как отмечается, исправление совместимо только с сайтами, где работает update.php (необходимая мера при обновлении до Drupal 8.7.5.). Администраторам, которые не могут немедленно обновиться до версии 8.7.5, рекомендуется деактивировать модуль Workspaces.
Согласно статистике Drupal, в настоящее время 8.x используют примерно 300 тыс. web-сайтов. На сегодняшний день Drupal является одной из наиболее популярных систем управления контентом. На ее базе работают 1,8% всех использующих CMS сайтов в интернете. Лидируют в списке WordPress (34,2%) и Joomla! (2,8%).