Drupal.cz

Pokud Drupal vypisuje uživatelská data, vždy je chrání před útoky na nebezpečné HTML tagy. Existují speciální sekvence znaků, které jsou validní v UTF-8, ale stále také v UTF-7 kódování. Pokud se tyto objeví ve stránce dříve, než Drupal vypíše značku <meta http-equiv=„Content-Type“ />, některé prohlížeče (IE6) tagy interpretují i přes to, že Drupal stejně posílá HTTP hlavičku s kódováním.

Dále se Drupalu týká CSRF na úvodní stránce – pokud uživatel navštíví web přes speciální URL, zkonstruovanou útočníkem, je možné uživatele donutit, aby jeho některý odeslaný formulář poslal data na web třetí strany. Chyba se týká pouze úvodní stránky a netýká se přihlašovacího formuláře.

Pokud nemůžete upgradovat jádro, můžete použít patche, viz. http://drupal.org/node/449078

Zároveň můžete upravit své téma vzhledu následujícím způsobem: najděte řádku <?php print $head ?> a přesunujte ji v kódu nahoru dokud nebude nad tagem <title>.

Nebezpečí: Střední

Týká se jádra: Ano

Postižený modul: Drupal

Opraveno ve verzích: 6.11, 5.17

Odkaz na stažení nové verze: 6.11, 5.17