Специалисты Drupal CMS исправили ошибку системы безопасности, которая позволяет хакерам получать доступ к сайтам через URL-адреса. Уязвимость оказалась достаточно серьёзной, разработчики присвоили ей 21 уровень опасности (очень критический) из 25.
Как это работает?
Ошибка с идентификатором CVE-2018-7600 позволяет злоумышленникам запускать вредоносный код против системы управления контентом, допуская захват контроля над сайтом. Хакерам не требуется регистрация и процедура подтверждения на целевом портале.
Участники сообщества Drupal прозвали ошибку Drupalgeddon2. Команда специалистов заявила, что не обладает информацией о взломах с использованием конкретного бага. Помимо исправления ошибки на основных версиях Drupal 7.x и Drupal 8.x, разработчики заявили о выпуске патчей для устаревшей версии Drupal 6.x.
На данный момент в Сети нет объяснения принципа работы уязвимости и кода эксплойта, но некоторые разработчики начали исследовать патчи на исправления.
Источник: Bleeping Computer
