Тринадцатого мая команда безопасности Drupal выпустила серию обновлений для нескольких популярных модулей. Наибольшую тревогу вызвал патч для расширения Date iCal, который получил критический рейтинг риска. Проблема, зарегистрированная под идентификатором CVE-2026-8495, позволяет любому анонимному посетителю получить доступ к скрытым данным, не имея никаких прав.
Детали уязвимостей
Модуль Date iCal предназначен для экспорта полей с датами в стандарт календарного формата iCal. Разработчики обнаружили, что код не проверяет, имеет ли пользователь право просматривать сущности и отдельные поля. Более того, данные, передаваемые в iCal-ленту, не фильтруются от вредоносных вставок. Самое тревожное - уязвимость не требует настройки. Маршруты, генерирующие ленты, доступны всем анонимным пользователям без каких-либо разрешений. Уровень угрозы составил семнадцать баллов из двадцати пяти, а показатель конфиденциальности (CI:All) указывает на полное раскрытие информации. По сути, злоумышленник может получить доступ к любым датам, которые хранятся в полях сущностей, включая те, которые должны быть скрыты от посторонних.
Проблема затронула все версии модуля ранее 4.0.15. Разработчики рекомендуют немедленно установить обновление. Патч уже доступен для Drupal версий 10 и 11.
Но критическим обновлением ситуация не ограничилась. В тот же день были выпущены исправления ещё для трёх модулей, которые хотя и получили более низкие оценки риска, также требуют внимания.
Модуль Colorbox Inline, позволяющий открывать содержимое страницы во всплывающем окне, содержит уязвимость межсайтового скриптинга (XSS - когда злоумышленник может внедрить в страницу свой код, который выполняется в браузере жертвы). Проблема заключается в недостаточной очистке атрибута data-colorbox-inline перед передачей в библиотеку jQuery. Однако атака возможна только в том случае, если у злоумышленника есть роль с разрешением на вставку HTML-тегов с определёнными атрибутами. Рейтинг риска - умеренно критичный, тринадцать баллов. Уязвимость получила индекс CVE-2026-8493.
Расширение Translate Drupal with GTranslate, которое добавляет на сайт переключатель языков, оказалось подвержено атаке, известной как переопределение DOM-объектов (манипуляция объектной моделью документа) и подмена ссылок. Скрипт модуля не проверял, что document.currentScript действительно указывает на выполняемый элемент. Если пользователь мог добавить HTML-код на страницу, он мог перенаправить ссылки переключателя языков на другой домен. Правда, для этого нужно иметь возможность вставлять HTML с атрибутами, которые не разрешены стандартным редактором Drupal. Кроме того, уязвимость работает только в платных версиях скрипта GTranslate. Оценка риска - низкая, всего восемь баллов, CVE-2026-8492.
Модуль Node View Permissions, который позволяет настроить права "Просматривать собственный контент" и "Просматривать любой контент" для каждого типа материала, содержит ошибку обхода доступа. Если учётная запись пользователя удаляется, а её содержимое переназначается анонимному пользователю, модуль не обрабатывает эту ситуацию корректно. В результате приватные материалы могут стать доступны неавторизованным посетителям. Уязвимость получила рейтинг одиннадцать баллов (умеренно критичный) и индекс CVE-2026-8491. Важно отметить, что проблема затрагивает только те материалы, которые после отмены пользователя были переприсвоены анонимусу.
Для специалистов по кибербезопасности эти события - очередное напоминание о том, что даже небольшие модули могут стать точкой входа для серьёзных утечек. Особую опасность представляет уязвимость Date iCal, поскольку она не требует аутентификации. На сайтах, где хранятся конфиденциальные данные - например, даты встреч, сроки согласования документов, расписания событий, - злоумышленник может выгрузить всё содержимое полей дат без каких-либо усилий.
Пользователям Drupal следует в первую очередь обновить Date iCal до версии 4.0.15. Владельцам сайтов, использующих версии 8.x модуля Node View Permissions, необходимо перейти на 1.7.0, а тем, кто работает с веткой 2.0.x, - на 2.0.1. Colorbox Inline требует обновления до версии 2.1.1, а GTranslate - до 3.0.5.
Разработчики отмечают, что все уязвимости были обнаружены и исправлены участниками команды безопасности Drupal. Сообщения о проблемах поступили от Дрю Уэббера, Пьера Рудлоффа и Адама Шепарда. Исправления подготовили Джоэль Питте, Майкл Харрис, Эдвард Ананян и Балинт Надь. Координацией занимались Грегг Кнаддисон, Дэйв Лонг, Юрай Немец и другие.
Ситуация подчёркивает, что даже устоявшиеся и популярные расширения могут содержать серьёзные изъяны безопасности. Регулярное обновление всех модулей остаётся ключевой мерой защиты для любого сайта на Drupal.
Ссылки
- https://www.drupal.org/security
- https://www.drupal.org/sa-contrib-2026-034
- https://www.drupal.org/sa-contrib-2026-035
- https://www.drupal.org/sa-contrib-2026-036
- https://www.drupal.org/sa-contrib-2026-037
