16 апреля вышло критическое обновление безопасности для Drupal 7.27. В тот же день произведено обновление сайтов клиентов SStudio, заключивших договоры на техническое обслуживание.
Обновление 7.27 закрывает критическую уязвимость в системе безопасности сайтов, которые предоставляют Ajax- или multi-step формы для анонимных пользователей из кэша страниц (если страница в кэше либо Drupal либо внешней системы).
Форма API в Drupal имеет встроенную поддержку для временного хранения форм, в качестве примера ввода для пользователя. Это часто используется в multi-step формах, и требуется для Ajax с поддержкой форм, чтобы позволить аяксу сохранять информацию при промежуточном вводе от пользователя на сервере. Когда страницы кэшируются для анонимных пользователей (либо Drupal или внешней системой), форма может передавать информацию между анонимными пользователями. Как следствие, есть вероятность, что промежуточная форма ввода, которая записана для одного неавторизованного пользователя будет открыта для других пользователей, взаимодействующих с той же формой в то же время.
Эта уязвимость смягчается тем, что ядро Drupal не предоставляет никаких таких форм для анонимных пользователей по умолчанию. Тем не менее, имеются модули, которые используют подобные варианты работы с API Drupal, и в вышеуказанных условиях могли бы быть уязвимы.
Всем клиентам, не заключившим договоры на техобслуживание, настоятельно рекомендуется произвести обновление самостоятельно или заключить договор на техобслуживание.