Sistemul de management al conținutului (CMS) Drupal îi încurajează pe utilizatori să instaleze un patch pentru o vulnerabilitate "extrem de critică" care poate fi exploatată imediat de atacatori pentru a prelua controlul oricărui site construit cu această platformă software open source.

Pe baza celor două ramuri (7.x sau 8.5.x) pe care le utilizează, proprietarii de site-uri Drupal ar trebui să se grăbească să le actualizeze la versiunea 7.58 sau 8.5.1. În plus, echipa din spatele Drupal a pus la dispoziție soluții adecvate pentru versiunile mai vechi și care nu mai au suport. Acestea includ versiunile 8.3 și 8.4, precum și Drupal 6, care au ajuns la sfârșitul vieții încă din februarie 2016.

Organizația din spatele Drupal a atribuit vulnerabilității la executarea codului de la distanță un scor de risc de 21/25. Defecțiunea, numită CVE-2018-7600, face posibil ca un atacator să "exploateze mai mulți vectori de atac" împotriva unui site web, care ar putea deveni "complet compromis", conform declarației echipei Drupal.

Ceea ce înseamnă, potrivit echipei, că atacatorul ar putea accesa, șterge și modifica orice date non-publice de pe site-ul vulnerabil, alimentat de Drupal. Nu sunt necesare privilegii sau acreditări pentru a compromite site-ul.

Anunțul lui Drupal despre patch-urile de pe Twitter

Vulnerabilitatea a fost descoperită de Jasper Mattsson, care lucrează pentru o firmă care efectuează audituri de securitate pentru Drupal.

Organizația din spatele lui Drupal a anunțat update-urile viitoare în avans cu șapte zile, sugerând gravitatea problemei. "Echipa de securitate Drupal vă îndeamnă să rezervați timp pentru actualizările de bază la acel moment, deoarece exploatările ar putea fi dezvoltate în câteva ore sau zile", potrivit anunțului de săptămâna trecută. Nicio astfel de exploatare sau cod de probă de concept nu a fost observată in the wild, a declarat echipa Drupal.

Potrivit W3techs.com, Drupal este a treia cea mai populară platformă CMS, după WordPress și Joomla. Echipa Drupal spune că platforma sa CMS este folosită de mai mult de 1 milion de site-uri Web.