Miljoenen websites die het contentmanagementsysteem Drupal gebruiken lopen gevaar overgenomen te worden. Drupal bevat namelijk een kwetsbaarheid waarmee hackers op afstand malafide code kunnen uitvoeren. Daar waarschuwen managers van het open source-project voor, meldt Ars Technica. Er is een patch beschikbaar voor het probleem.
De kwetsbaarheid wordt gevolgd onder de code CVE-2019-6340. Het probleem komt van een fout waardoor gebruikers-input niet voldoende gevalideerd wordt. Hackers die de kwetsbaarheid misbruiken kunnen in sommige gevallen code naar keuze laten draaien op kwetsbare websites. De fout wordt dan ook als zeer kritiek aangemerkt.
Een website is echter niet zomaar kwetsbaar. Dat is het wel als het de Drupal 8 core RESTful Web Services (rest) module aan heeft staan en PATCH of POST requests toestaat. Daarnaast is een website kwetsbaar als het een andere Web-services module aan heeft staan, zoals JSON:API in Drupal 8, Services of RESTful Web Services in Drupal 7.
Projectmanagers dringen er bij administrators van kwetsbare websites op aan om deze direct te updaten. Websites die versie 8.6.x draaien, moeten upgraden naar 8.6.10. Websites die 8.5.x of eerdere versies draaien, moeten upgraden naar 8.5.11. Ook moeten websites alle beschikbare beveiligingsupdates voor bijgedragen projecten updaten, na het updaten van de Drupal core. Voor Drupal 7 is geen core update vereist, al hebben diverse bijgedragen modules hiervoor wel updates nodig.
Miljoenen sites
Drupal is na WordPress en Joomla het meest gebruikte CMS. Naar schatting draait 3 tot 4 procent van de ruim een miljard websites op het CMS, wat neerkomt op tientallen miljoenen websites. Kritieke kwetsbaarheden in een CMS zijn bovendien populair bij hackers, omdat de kwetsbaarheden tegen veel websites gebruikt kunnen worden met een enkel, vaak eenvoudig te schrijven script.
Er zijn vooralsnog geen berichten dat de nu gevonden kwetsbaarheid in het wild wordt misbruikt. De kans is echter groot dat dit wel gaat gebeuren.