В версиях Drupal 6 и 7 исправлена уязвимость

ИБ-эксперты компании Drupal  исправили  уязвимость в 6-ой и 7-ой версиях системы управления Drupal. Специалисты советуют всем пользователям переходить на новые версии Drupal 6.35 и 7.35.

По мнению специалистов компании, брешь в ядре Drupal позволяла злоумышленникам при определенных обстоятельствах обойти ограничения системы безопасности подделав URL-адрес страницы сброса пароля. Благодаря этому мошенники могли получить доступ к учетной записи пользователя в обход пароля.

В Drupal 7 уязвимость смягчалась тем, что ее можно было использовать только на сайтах, где хэш пароль в базе данных является одинаковым для нескольких импортированных учетных записей. В Drupal 6 брешь может эксплуатироваться в случае, если аккаунт или один из аккаунтов был импортирован и поле базы данных для хэш пароля оказалось пустым.

Злоумышленники могли совершать атаку с использованием социальной инженерии во время восстановления пользователем его персонального пароля.