Možnost spuštění kódu v modulu Services
Modul Services byl vytvořen z potřeby mít standardizované řešení pro integraci externích aplikací do Drupalu. Je postaven na rozhraní XML-RPC jádra Drupalu, ale abstrahuje tzv. „service callbacks”, což umožňuje vedle XML-RPC též použití SOAP, REST a AMF. To umožňuje webu postaveném na Drupalu poskytovat webové služby pomocí mnoha rozhraní za použití stejných „callbacků”.
Naneštěstí, systém oprávnění není příliš dobře koncipován a uživatelé s oprávněním „access to use a services” mají přístup ke všem službám, díky čemuž mohou tito uživatelé spustit jakýkoli kód.
Přístup ke službám může být volitelně limitován na určité IP adresy nebo nastaven tak, aby vyžadoval tzv. „API klíč”, což může zmírnit důsledky této chyby.
Nebezpečí: Kritické
Týká se jádra: Ne
Postižený modul: Services
Opraveno ve verzích: 6.x-0.9 a 5.x-0.9
Odkaz na stažení nové verze: Services 6.x-0.9 či Services 5.x-0.9
Hlavní RSS kanál
Poslat nový komentář