Пользователям Друпала рекомендован срочный апгрейд из-за критической уязвимости, позволяющей перехватывать контроль над веб-ресурсами.
Все сайты на Drupal ниже 7.58 или 8.5.1 оказались под угрозой критической уязвимости, позволяющей захватывать контроль над CMS. Разработчики Друпала в конце марта обещали выпустить патчи через несколько часов после публичного раскрытия информации о баге.
Уязвимость под названием CVE-2018-7600 или Drupalgeddon2 позволяет злоумышленникам без регистрации и авторизации запускать любые произвольные коды в контекст ядра CMS, что дает возможность захватывать сайты целиком. Злоумышленнику не понадобится ни регистрироваться, ни авторизоваться на сайте. Все, что нужно для захвата – урл сайта.
Первый Друпалгеддон зафиксирован в 2014 году с официальным названием CVE-2014-3704 и позволял внедрять произвольный SQL-код для взлома сайтов. Злоумышленники эксплуатировали эту уязвимость несколько лет. Угроза Друпалгеддона2 несколько меньше первого (21 из 25 балла по шкале Друпала против 25 из 25), но слишком высока, чтобы игнорировать ее.
У разработчиков Друпала пока нет информации об атаках с помощью Друпалгеддона2, но вряд ли их придется ждать долго.
Доля Друпала среди CMS – около 4,3%, на нем работает около 2,2% всех сайтов в интернете. Друпал часто подвергается критике за массу ошибок, неудобство, проблемы масштабируемости и т. п. Тем не менее на нем работают многие блоги, корпоративные и правительственные сайты.