Drupal ออกอัพเดต 7.58 และ 8.5.1 ตามที่ประกาศไว้เมื่อสัปดาห์ที่แล้ว โดยระบุว่าเป็นช่องโหว่ "วิกฤติอย่างสูง" (highly critical) แฮกเกอร์สามารถยึดเว็บได้อย่างสมบูรณ์

แม้ Drupal จะมีช่องโหว่ระดับวิกฤติออกมาอยู่เป็นระยะ แต่ครั้งนี้เป็นครั้งแรกในรอบ 3 ปี ที่ Drupal ออกมาประกาศแพตช์ล่วงหน้า เพราะความง่ายในการพัฒนาเครื่องมือโจมตีเว็บไซต์ โดยช่องโหว่ SA-CORE-2014-005 เมื่อปล่อยแพตช์ออกมาแล้ว เริ่มมีการโจมตีหลังจากนั้นเพียง 7 ชั่วโมง

ช่องโหว่กระทบ Drupal 6 ที่หมดอายุซัพพอร์ตไปแล้วด้วย เนื่องจาก Drupal 6 หมดอายุซัพพอร์ตไปแล้ว ตอนนี้จะมีแต่แพตช์โดยชุมชนเท่านั้น

แพตช์แสดงให้เห็นว่า Drupal ไม่ได้ตรวจสอบค่าจากตัวแปรต่างๆ ที่ส่งมาทาง HTTP Request ด้วยช่องทางใน URL, Cookie, หรือ HTTP POST โดยตัวแปรเหล่านี้อาจมีตัวอักขระแรกเป็น "#" และนำไปสู่การรันโค้ดจากระยะไกลได้

ที่มา - Drupal