Вышли обновления для двух популярных модулей CMS Drupal - Geolocation Field и WissKI. Разработчики выпустили патчи, закрывающие уязвимости, которым присвоен критический уровень опасности по шкале NIST. В бюллетенях сообщается о проблемах с SQL-инъекциями и обходом контроля доступа.
Детали уяхвимостей
Уязвимость в модуле Geolocation Field получила идентификатор CVE-2026-13242 и рейтинг 19 баллов из 25 по методологии NIST. Модуль предназначен для хранения географических координат и работы с данными на картах. Как выяснили исследователи, один из фильтров для Views (средства построения списков и таблиц в Drupal) недостаточно очищает передаваемые пользователем значения. Если администратор создал представление, использующее этот фильтр, и разрешил ввод данных извне, атакующий может внедрить в запрос к базе данных произвольные SQL-команды. В результате потенциальная атака может привести к полной компрометации базы данных сайта, включая утечку учётных записей пользователей, содержимого страниц и настроек.
Помимо этого, вторая критическая уязвимость зафиксирована в модуле WissKI (CVE-2026-13239, 17 баллов). Модуль добавляет поддержку инструмента Mirador для работы с изображениями и аннотациями в гуманитарных проектах. Проблема затрагивает подмодуль wisski_mirador. Через один из маршрутов (route) модуль некорректно проверяет параметры, отправляемые на сервер, и записывает их напрямую в сессионный объект. Это позволяет злоумышленнику изменить данные сессии и получить доступ к функциям или данным, для которых у него нет прав. В документе уточняется, что для эксплуатации необходимо, чтобы на сайте был включён именно этот подмодуль.
Обе уязвимости были обнаружены в ходе внутреннего аудита кода. Разработчики признают, что в закрытых версиях проблема существовала в коде, написанном несколько лет назад, и не была выявлена ранее из-за специфических условий эксплуатации. В официальных бюллетенях подчёркивается, что для успешной реализации атаки в обоих случаях требуются нестандартные настройки сайта, что несколько снижает широту угрозы.
Наиболее подвержены риску сайты, использующие модуль Geolocation Field с включённым пользовательским вводом в фильтрах Views. В случае с WissKI уязвимость затронет владельцев сайтов, которые используют подмодуль wisski_mirador для работы с изображениями. Обычные пользователи, не предоставляющие контент на таких сайтах, в меньшей степени подвержены прямому воздействию, однако администраторам стоит учитывать, что SQL-инъекция может привести к утечке всех данных, включая личные сведения зарегистрированных посетителей.
Временные меры защиты включают отключение подмодуля wisski_mirador в WissKI и отказ от использования уязвимого фильтра Views в Geolocation Field. Производитель рекомендует не откладывать установку обновлений. Для модуля Geolocation Field необходимо обновиться до версии 8.x-3.15, для WissKI - до версии 8.x-4.2. Патчи доступны на страницах соответствующих проектов в репозитории Drupal.
Рынок модулей Drupal продолжает сталкиваться с унаследованными уязвимостями: обе проблемы существовали в кодовой базе несколько лет и не были замечены в ходе стандартных проверок. Ситуация показывает, что даже для зрелых и широко используемых расширений требуется регулярный углублённый аудит безопасности.
Ссылки
