V úterý vydal Drupal Security Team oznámení, že ve středu bude následovat důležitá bezpečnostní aktualizace, kterou byste neměli odkládat. Tak se následně večer po několikahodinovém čekání oproti anoncovanému termínu i stalo. Aktualizaci přinesl i Backdrop.
O co šlo? Zranitelnost CKEditoru, který oba redakční systémy využívají ve svém administračním rozhraní umožňovala přihlášeným uživatelům (anonymové obvykle editor k dispozici nemají) provést XSS útok. Závažnost byla označena za středně kritickou.
Řešením je provést co nejrychlejší aktualizaci jádra Drupalu, přičemž vychází oprava pro obě podporované nové řady, osmičkovou a devítkovou. V případě Drupalu 7, kdy CKEditor není v jádře a obsluhujete jej třeba pomocí modulu WYSIWYG API, je doporučeno aktualizovat knihovny editoru.
Zareagoval i Backdrop, který vydal aktualizaci svého forku Drupalu, protože ačkoli vychází z Drupalu 7, CKEditor je v něm obsažen také.
Další informace:
