Dünya çapında kullanılan ve web içerik yönetim sistemi çözümleri üreten Drupal, Eylül ayı güvenlik güncellemeleri kapsamında Drupal 8.9, 9.1 ve 9.2 sürümlerini etkileyen beş güvenlik zafiyeti için güncelleme yayınlamıştır. Önem dereceleri orta ve kritik olarak değerlendirilen güvenlik zafiyetleri, hedef sistemlerde Cross Site Request Forgery ve Access Bypass saldırılarının gerçekleştirilmesine olanak sağlamaktadır.(Referans Linki)
- CVE-2021-13673 ile izlenen güvenlik zafiyeti, Drupal Core Medya modülünün içerik alanına çeşitli medya dosyaları gömülmesine izin vermektedir. Bu işlevsellik, güvenilmeyen bir kullanıcının, sayfaya HTML eklemesine izin verebilmekte ve Cross Site Request Forgery zafiyetinin tetiklenmesine sebep olabilmektedir.
- CVE-2020-13674 ile izlenen güvenlik zafiyeti, Drupal QuickEdit modülünün yönlendirme erişimini uygun şekilde doğrulamamasından kaynaklanmaktadır. Bu durum Cross Site Request Forgery zafiyetinin tetiklenmesine sebebiyet verebilmektedir. Güvenlik zafiyetinden sadece QuickEdit modülü yüklü olan siteler etkilenmektedir.
- CVE-2020-13675 ile izlenen güvenlik zafiyeti, Drupal’ın HTTP API’leri üzerinden dosya yüklemeye izin veren JSON:API ve REST/File modüllerinin dosya doğrulamasını uygun şekilde gerçekleştirememesinden kaynaklanmaktadır. Bu zafiyetten yararlanmak isteyen tehdit aktörleri, dosya doğrulama işlemlerini atlatabilecek dosyalar yükleyebilmektedir.
- CVE-2020-13676 ile izlenen güvenlik zafiyeti, QuickEdit modülünün kullanıcı alanlarına erişimi uygun şekilde kontrol etmemesinden dolayı söz konusu alanlardaki verilerin ifşasına sebep olabilmektedir. Bu güvenlik zafiyetinden sadece QuickEdit modülü yüklü olan siteler etkilenmektedir.
- CVE-2020-13677 ile izlenen güvenlik zafiyeti, Drupal Core JSON:API modülünün belirli içeriğe erişimi uygun şekilde kısıtlamamasından kaynaklı olarak, istenmeyen şekilde erişimin atlatılmasına sebep olabilmektedir. Bu güvenlik zafiyeti JSON:API modülü etkinleştirilmemiş olan siteleri etkilememektedir.
Söz konusu zafiyetler kullanılarak gerçekleştirilebilecek saldırıların hedefi olmamak adına savunmasız sürümleri kullanan kullanıcıların Drupal tarafından yayınlanan zafiyetin giderildiği güncel sürümlere yükseltmeleri tavsiye edilmektedir. Drupal 8.9.x’ten önceki ve Drupal 9.1.x’ten önceki sürümler artık kullanım dışı olduğundan güvenlik güncellemeleri kapsamında bulunmamaktadır.