Drupal закрыл три уязвимости в ядре: риски раскрытия данных и межсайтового скриптинга

Drupal

Разработчики CMS Drupal выпустили три бюллетеня безопасности, в которых сообщили об исправлении уязвимостей в ядре системы. Проблемы затрагивают версии Drupal 11.4.x до 11.4.4, 11.3.x до 11.3.14 и 10.6.x до 10.6.13. Все три уязвимости оценены как умеренно критичные, но их эксплуатация в определённых сценариях может привести к раскрытию конфиденциальных данных и выполнению межсайтового скриптинга (XSS).

Детали уязвимостей

Первая уязвимость, зарегистрированная как CVE-2026-15916, связана с модулем Image. Этот модуль позволяет определять и настраивать поля для изображений. Проблема заключается в недостаточной проверке доступа к производным файлам изображений, когда они обслуживаются через файловый поток, отличный от "private://". Как поясняют разработчики, для эксплуатации необходимо, чтобы на сайте был настроен сторонний (не входящий в ядро) файловый механизм для обслуживания приватных производных изображений. Такие случаи относительно редки, поэтому уязвимость классифицирована как умеренно критичная, а само исправление рассматривается как ужесточение безопасности. В официальном бюллетене отмечено, что подобные проблемы с раскрытием информации обычно не получают отдельных предупреждений, но в данном случае патч выпущен для дополнительной защиты. Модулям, реализующим собственные оболочки потоков, рекомендовано внедрить аналогичные меры.

Вторая проблема (CVE-2026-15917) касается интеграции JavaScript-библиотеки HTMX в Drupal начиная с версии 11.2. Стандартный фильтр XSS в ядре не обеспечивает достаточной очистки определённых атрибутов HTMX, что потенциально позволяет злоумышленнику внедрить вредоносный код. Для атаки требуется возможность вставлять HTML с конкретными атрибутами - например, через комментарии или поля, где разрешён ограниченный набор тегов. Эксперты отмечают, что уязвимость может быть использована только при условии, что атакующий обладает правами на добавление подобного контента. Версии Drupal 10 не подвержены этой проблеме напрямую, но в рамках общего ужесточения безопасности патч включён и в обновление 10.6.13.

Третья уязвимость (CVE-2026-55805) обнаружена в модуле Layout Builder. При определённых условиях модуль недостаточно очищает метки блоков, что также приводит к межсайтовому скриптингу. Смягчающим фактором является то, что для атаки и атакующий, и целевой пользователь должны работать в интерфейсе редактирования Layout Builder. Это существенно сужает круг потенциальных жертв, но не исключает риска в многопользовательской среде, где один редактор может внедрить вредоносную метку, а другой - активировать её.

Все три бюллетеня опубликованы 15 июля 2026 года, а рекомендации по устранению идентичны: пользователям Drupal 11.4.x необходимо обновиться до версии 11.4.4, пользователям Drupal 11.3.x - до 11.3.14, а тем, кто остаётся на ветке 10.6.x, - до 10.6.13. Важно отметить, что более старые выпуски Drupal 11.2.x и ниже, а также Drupal 10.5.x и ниже достигли конца жизненного цикла и больше не получают обновлений безопасности. Версии Drupal 8 и 9 также окончательно сняты с поддержки. Для таких установок единственным выходом остаётся миграция на актуальные ветки.

Хотя каждая из уязвимостей имеет свои ограничения по эксплуатации, их одновременное исправление указывает на системную работу команды Drupal над повышением устойчивости к XSS-атакам и несанкционированному доступу к данным. Администраторам сайтов, особенно тем, кто использует нестандартные файловые потоки или активно задействует Layout Builder, следует в приоритетном порядке установить выпущенные обновления. Временных мер защиты, альтернативных патчу, производителем не предложено.

Ссылки

Комментарии: 0