Uma das vulnerabilidades de segurança está relacionada os mecanismos para prevenção de cross-site scripting (XSS), que foram libertados junto das versões Drupal 8.4.5 e 7.57. O popular CMS usa uma função JavaScript que não sanitiza completamente o input de dados.
“Drupal has a Drupal.checkPlain() JavaScript function which is used to escape potentially dangerous text before outputting it to HTML.” reads the advisory. “This function does not correctly handle all methods of injecting malicious HTML, leading to a cross-site scripting vulnerability under certain circumstances.”
A segunda vulnerabilidade, também classificada como crítica, afeta a versão 8 do Drupal, pode ser explorada por utilizadores que têm permissão para publicar comentários para visualizar conteúdo, e comentários que não deveriam ter acesso. A falha também poderia permitir aos utilizadores inserir comentarios a conteúdo exclusivo e privado — i.e., para o qual não tinham autorização.
A equipa do Drupal também corrigiu duas vulnerabilidades com severidade “moderada”no Drupal 7 e outras duas no Drupal 8. As falhas no Drupal 7 são:
- Um bypass a ficheiros privados – o Drupal não verifica se um utilizador tem acesso a um ficheiros antes de permitir a sua visualização e respetivo download.
- Uma vulnerabilidade no script jQuery que está presente ao efetuar requests via Ajax a domínios não confiáveis.
As falhas no Drupal 8 são as seguintes:
- Um issue relacionado com a multilíngua que permite acesso não autorizado via bypass.
- Bypass de acesso ao dashboard de configurações — e que permite acesso não autorizado — o utilizador pode aceder e alterar dados de terceiros sem autorização.