Излязоха Drupal 7.38 и 6.36

Drupal 7.38 и Drupal 6.36 са налични за сваляне. Двете версии адресират проблеми със сигурността и се препоръчва администраторите на сайтове да обновят към тези версии.

Подмяна на персонализация (OpenID моду - Drupal 6 и 7 - критичен)

Открита е слабост в OpenID модула, която дава възможност на злонамерени потребители да се логнат под друг акаунт, включително и като администратори.

Open redirect (Field UI модул - Drupal 7 – по-малко критичен)

Засяга само сайтове с включен Field UI модул и може да позволи на злонамерени потребители да модифицират URL за пренасочване към опасни сайтове в мрежата.

Open redirect (Overlay модул - Drupal 7 - по-малко критичен)

С ограничено действие защото засяга само сайтове на Drupal 7 с включен Overlay модул и потребители с административни права. Overlay модула показва страниците за администрация на сайта посредством JavaScript, вместо като самостоятелни страници. Не се правят достатъчно валидации на URL стринга преди показване на съдържанието, което може да бъде използвано за open redirect атаки.

Изтичане на информация (Render cache - Drupal 7 – по-малко критичен)

С ограничено действие, тъй като render caching не се ползва в Drupal 7 ядрото. Възможно е дада достъп на неоторизирани потребители до кеширани данни на друг потребител.

За повече информация, вижте Drupal 7.38 и Drupal 6.36 release notes и https://www.drupal.org/SA-CORE-2015-002