Drupal после обновления может стать сыром — таким же дырявым
Один из экспертов выявил несколько проблемных моментов в системе обновления CMS Drupal. На текущий момент исправлений для найденных уязвимостей разработчики не предложили.
Вместе с Wordpress и Joomla Drupal входит в тройку лидирующих бесплатных CMS. И также как у коллег в коде Drupal есть неприятные моменты.
Разработчики CMS стремятся как можно сильнее упростить процесс обновления ПО. Однако такие усилия могут приводить к совершенно другому результату.
Эксперт выявил странный алгоритм работы автоматического обновления Drupal. Если в процессе получения обновления возникли проблемы со связью, то CMS все равно выдает сообщение о наличии актуальных последних версий модулей, хотя свежий софт не мог быть получен. Причем такие проблемы возникают в версиях 7 и 8, а версия 6 Drupal все-таки выдает сообщение об обрыве соединения.
Нажатие на кнопку ручного обновления в таких ситуациях может привести к бесконечной черед запросов к серверу drupal.org.
Также апдейты пересылаются без шифрования и без проверок аутентификации. Таким положением можно воспользоваться для перехвата трафика и внедрения зловредного кода.
Эксперт сумел воспользоваться уязвимостями, установить на тестовый сайт зараженную версию обновления и получил доступ к паролям пользователей.
Огорчает то, что разработчики в курсе уязвимостей с 2012 года, но работы по устранению дыр начаты только недавно. Патчи для устранения потенциальной опасности пока не выходили.
Новости
В Beget новая панель управления02 февраля 2026, 11:31Промокоды для ВсеИнструменты: как получить и использовать
22 января 2026, 07:47Сколько стоит запустить сайт на Рег.ру
09 января 2026, 08:50Новые цены на услуги от NetAngels. Это коснется хостингов, облачных серверов, БД
18 декабря 2025, 09:54Дайджест Ноябрь 2025: скорое обновление Expert Review и Reboot
09 декабря 2025, 12:12