Af Eskil Sørensen, 24/04/23
Drupal har udgivet en sikkerhedsrettelse som adresserer en ’access bypass’-sårbarhed, som påvirker flere Drupal-versioner. En hacker kan udnytte denne sårbarhed til at tage kontrol over et sårbart system.
De berørte systemer er Drupal 10.0, Drupal 9.5, Drupal 9.4 og Drupal 7. Alle versioner af Drupal 9 før version 9.4.x er "end-of-life" og opdateres således ikke. Hele Drupal 8 har ligeledes opnået "end of life".
Sårbarheden opstår, da filoverførselsfaciliteten ikke ’renser’ filstierne tilstrækkeligt i visse situationer. Dette kan resultere i, at brugere får adgang til private filer, som de ikke burde have adgang til.
Nogle websteder kan kræve konfigurationsændringer efter denne sikkerhedsfrigivelse. Det anbefales, at man gennemgår udgivelsesbemærkningerne til Drupal-versionen, hvis der er problemer med at få adgang til private filer efter opdatering.