Вышли Drupal 7.38 и 6.36, содержащие исправления серьезных уязвимостей (SA-CORE-2015-002).
Самая серьезная уязвимость — CVE-2015-3234. Она содержится в модуле openID в Drupal 6.x до 6.36 и Drupal 7.x до 7.38. Эта уязвимость позволяет злоумышленнику выдать себя за другого пользователя (в том числе, администратора) и угнать его аккаунт.
Также выявлены еще 3 уязвимости в Drupal 7, две из которых позволяют перенаправлять пользователей на сторонний сайт, и одна — просматривать защищенный контент пользователям, не имеющим такого права.
Рекомендуется обновиться до Drupal 7.38 или 6.36.
>>> Подробности