Сегодня меня почта порадовала пачкой сообщений в рассылке "Security News" от команды по безопасности Друпала.

Вот что имеем на данный момент

Риск: Critical 17 ∕ 25 AC:None/A:None/CI:Some/II:Some/E:Theoretical/TD:Default
Затрагивает: Drupal 7

В Drupal 7 модуль Overlay небезопасно работает с пользовательским вводом, что может привести к межсайтовому скриптингу при определенных обстоятельствах.

Выхода два

• Обновиться до Drupal 7.102
• Отключить модуль Overlay

Это самая большая угроза. Остальные поменьше

Риск: Moderately critical 13 ∕ 25 AC:Basic/A:User/CI:Some/II:Some/E:Theoretical/TD:Default
Затрагивает: >= 8.8.0 < 10.2.11 || >= 10.3.0 < 10.3.9 || >= 11.0.0 < 11.0.8

Drupal использует JavaScript для рендеринга статусных сообщений в некоторых случаях и конфигурациях. При определенных обстоятельствах статусные сообщения не проходят соответствующую очистку, что может привести к межсайтовому скриптингу.

Лечение

• Drupal 10.2, обновить до Drupal 10.2.11.
• Drupal 10.3, обновить до Drupal 10.3.9.
• Drupal 11.0, обновить до Drupal 11.0.8.

Риск: Moderately critical 14 ∕ 25 AC:Complex/A:Admin/CI:All/II:All/E:Theoretical/TD:Uncommon
Затрагивает: >= 8.0.0 < 10.2.11 || >= 10.3.0 < 10.3.9

Ядро Drupal содержит потенциальную уязвимость PDO, которая при сочетании с другим эксплойтом может привести к удаленному выполнению кода. На прямую эту уязвимость использовать нельзя.

Затрудняет использование этой уязвимости то, что должна присутствовать другая уязвимость, позволяющая передавать опасный инпут в unserialize(). Такие эксплойты для ядра Друпал неизвестны.

Лечение

• Drupal 7, обновить до Drupal 7.102.
• Drupal 10.2, обновить до Drupal 10.2.11.
• Drupal 10.3, обновить до Drupal 10.3.9.

Еще две уязвимость про тоже самое.

https://www.drupal.org/sa-core-2024-007

https://www.drupal.org/sa-core-2024-006

Последняя может приводить к удалению файлов.