Уразливості в багатьох темах для Drupal
20:17 16.04.201105.03.2011
Подібно до уразливостей в багатьох темах для WordPress, також уразливими є багато тем для Drupal. Зокрема шаблони того самого розробника, що і ранішезгадані шаблони для WP.
У лютому, 02.02.2011, я знайшов Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в наступних темах для Drupal: Fresh News, Inspire, Spectrum, Delegate, Optimize, Bueno, Headlines, Daily Edition, Coffee Break, The Gazette Edition. Це комерційні шаблони для Drupal від WooThemes. Про що найближчим часом повідомлю розробникам.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам тем.
16.04.2011
Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в даних темах такі ж самі як і в раніше згаданих 90 темах для WP від двох розробників. Тому що дані шаблоні містять TimThumb, про уразливості в якому я вже писав.
Уразливі версії даних шаблонів з TimThumb 1.24 та попередні версіями. Окрім даних тем від WooThemes уразливими також можуть бути інші теми для Drupal (з TimThumb) від інших розробників (і таких тем чимало). Якщо в шаблонах від WooThemes файл зветься thumb.php, то в інших шаблонах можуть використовуватися інші імена файлу, зокрема timthumb.php.