Af Eskil Sørensen, 20/09/21
Drupal har frigivet sikkerhedsopdateringer, der adresserer sårbarheder i Drupal 8.9, 9.1 og 9.2. En angriber kan potentielt udnytte nogle af sårbarhederne til overtage kontrollen med et system. Der er i al fem sårbarheder, som dels kan udnyttes ved cross-site request forgery (CSRF) eller 'access bypass'. CSRF giver en angriber mulighed for at afvikle kommandoer ved at narre en bruger til at gå ind på en webside. Access bypass gør det muligt for en angriber at få adgang til data eller oploade filer.
CISA opfordrer brugere og administratorer til at gennemse nedenstående advisorien fra fra Drupal og installere de nødvendige opdateringer.
Links:
https://us-cert.cisa.gov/ncas/current-activity/2021/09/16/drupal-releases-multiple-security-updates
https://www.securityweek.com/several-access-bypass-csrf-vulnerabilities-patched-drupal