Уязвимость в модуле Drupal подвергает опасности более 120 000 сайтов

В модуле Drupal, используемом многими веб-сайтами, была обнаружена критическая уязвимость. Разработчики Drupal рекомендуют пользователям использовать другой модуль, поскольку уязвимый не обновлялся в течение нескольких лет.

12 апреля команда безопасности Drupal сообщила пользователям, что сторонний модуль References имеет критическую уязвимость. Модуль, используемый в настоящее время на более чем 121 000 веб-сайтах, позволяет добавлять ссылки между нодами (node) для более сложной внутренней архитектуры.

Изначально разработчики Drupal пометили модуль References как неподдерживаемый, причиной стало то, что обновлялся он последний раз в феврале 2013 года. Однако 14 апреля команда безопасности Drupal сообщила, что нашла для модуля нового разработчика.

Во вторник Drupal объявила, что уязвимость была исправлена с выпуском References 7.x-2.2, также обновление включает новые функции и исправления ошибок.

На данный момент подробности уязвимости не были опубликованы, разработчики опасаются того, что злоумышленники начнут активно ее эксплуатировать. Однако Drupal пообещала в ближайшие несколько недель обнародовать информацию.

Несмотря на то, что в References все же исправили брешь, пользователям также рекомендуют попробовать модуль, предоставляющий аналогичный функционал - Entity Reference. Существует даже отдельный модуль, который обеспечивает миграцию с References на Entity Reference.