Исправлена критическая уязвимость Drupal

Разработчики системы управления контентом Drupal устранили критическую уязвимость в своем ПО. Сейчас они призывают пользователей, не теряя ни минуты, установить обновления. По их словам, инструменты, эксплуатирующие уязвимость, могут появиться уже через несколько часов после публикации ее описания. Drupal является бесплатным программным обеспечением с открытым исходным кодом и пользуется широкой популярностью: сообщество пользователей насчитывает более 1,3 миллиона зарегистрированных участников.

Уязвимость, получившая обозначение CVE-2018-7600, обнаружена в ядре программы и затрагивает версии 6, 7 и 8. Эксплуатация уязвимости позволяет потенциальным злоумышленникам установить полный дистанционный контроль над сайтом, созданным с помощью Drupal, включая похищение, удаление или изменение любых данных, доступных лишь администраторам ресурса. Следует отметить, что разработчики Drupal пошли на достаточно редкий шаг: еще неделю назад они уведомили пользователей о предполагаемых сроках выпуска обновления с тем, чтобы администраторы могли заранее запланировать время его загрузки и установки. Это лишний раз свидетельствует о крайней опасности уязвимости. Ресурс The Register напоминает, что именно на Drupal работал сайт панамской юридической фирмы Mossack Fonseca. И именно из-за того, что его администраторы не потрудились вовремя установить обновления ПО, с сайта были похищены документы о налоговых махинациях, приведшие к скандалу, известному как «панамское досье».