Уязвимости в системе управления web-контентом Drupal
Представлен корректирующий выпуск системы управления контентом Drupal 8.3.7 в котором устранены три уязвимости. Уязвимость CVE-2017-6925 отнесена к категории критических проблем и позволяет получить неавторизированный доступ к средствам для просмотра, создания, обновления и удаления объектов. Уязвимость проявляется только для объектов, которые не используются, которым не присвоен UUID или которые имею разные ограничения доступа в разных ревизиях.
Вторая уязвимость CVE-2017-6923 отмечена как умеренно-критическая и позволяет получить доступ к представлениям, настроенным для обработки через Ajax, в обход заданным правилам доступа. Связанная с Ajax уязвимость также проявляется во многих сторонних модулях к Drupal 7 и 8, и позволяет получить данные, к которым ограничен публичный доступ. Третья уязвимость CVE-2017-6924 позволяет разметить комментарий через REST API, даже если пользователь не имеет полномочий на отправку комментариев и в обход системы подтверждения.