Ну конечно же.
Я добрые новости не приношу.
Для тех, кто не умеет в англицкий:
Друпал 6 и 7.
1) Критическая. Модуль OpenID. Можно войти под другим пользаком, втом числе и админом и угнать аккаунт.
2) Средне-критическая. OpenID. Можно перенаправить пользака на сторонний сайт, угнать токен, далее пункт 1.
3) Средне-критическая. Кеш. Можно подсмотреть скрытый правами доступа контент.
4) Средне-критическая. Можно перенаправить пользака на сторонний сайт (вне модуля OpenID).
Таблетка: обновиться до 7.38 или 6.36.
Но я бы вообще его не использовал.
А кто уже на него подсел -- ССЗБ.
Источник: https://www[dot]drupal[dot]org/SA-CORE-2015-002
|