ИБ-эксперты компании Drupal исправили уязвимость в 6-ой и 7-ой версиях системы управления Drupal. Тем не менее, специалисты советуют всем пользователям переходить на новые версии Drupal 6.35 и 7.35 для того, чтобы избежать возможных кибератак на сайты.
По мнению специалистов компании, брешь в ядре Drupal позволяла злоумышленникам при определенных обстоятельствах обойти ограничения системы безопасности подделав URL-адрес страницы сброса пароля. Благодаря этому мошенники могли получить доступ к учетной записи пользователя в обход пароля.
В Drupal 7 уязвимость смягчалась тем, что ее можно было использовать только на сайтах, где хэш пароль в базе данных является одинаковым для нескольких импортированных учетных записей. В Drupal 6 брешь может эксплуатироваться в случае, если аккаунт или один из аккаунтов был импортирован и поле базы данных для хэш пароля оказалось пустым. Злоумышленники могли совершать атаку с использованием социальной инженерии во время восстановления пользователем его персонального пароля. (Drupal/NovostIT)
