ИБ-эксперты компании Drupal исправили уязвимость в 6-ой и 7-ой версиях системы управления Drupal. Специалисты советуют всем пользователям переходить на новые версии Drupal 6.35 и 7.35.
По мнению специалистов компании, брешь в ядре Drupal позволяла злоумышленникам при определенных обстоятельствах обойти ограничения системы безопасности подделав URL-адрес страницы сброса пароля. Благодаря этому мошенники могли получить доступ к учетной записи пользователя в обход пароля.
В Drupal 7 уязвимость смягчалась тем, что ее можно было использовать только на сайтах, где хэш пароль в базе данных является одинаковым для нескольких импортированных учетных записей. В Drupal 6 брешь может эксплуатироваться в случае, если аккаунт или один из аккаунтов был импортирован и поле базы данных для хэш пароля оказалось пустым.
Злоумышленники могли совершать атаку с использованием социальной инженерии во время восстановления пользователем его персонального пароля.
