دروپال نرمافزاری رایگان و مبتنی بر کدباز برای مدیریت محتوا، توسعه برنامههای کاربردی مبتنی بر وب و ایجاد بلاگ است.
تیم امنیتی FrSIRT در گزارش شماره FrSIRT/ADV-2008-2913 خود که دوشنبه 27 اکتبر (شش آبان) منتشر کرد، از شناسایی چندین ضعف امنیتی نیمهخطرناک در Drupal خبر داده است.
هکرها با استفاده از این آسیبپذیریها میتوانند تمهیدات امنیتی را دور زده و به اطلاعات حساس و باارزش دست یابند.
بروز یک خطا به هنگام اجرای برنامه بر سروری که برای میزبانهای مجازی IP-based تنظیم شده، عامل ایجاد نقص اول عنوان شده است. در این حالت این امکان وجود دارد که فایلهای دلخواه، خارج از دایرکتوری ریشه اجرا گردد.
دومین مشکل از بروز خطای input¬ validation به هنگام پردازش عناوین book pages ناشی شده و مجرمان سایبر با استفاده از این خطا میتوانند با فراهم کردن دسترسی "create book content" برای خود، یا ایجاد دسترسی ویرایش نودها در book hierarchy، اسکریپتهای دلخواه را اجرا نمایند.
این آسیبپذیریها که هم به صورت Locally و هم به صورت Remotely میتواند دستمایه سوءاستفاده هکرها واقع شود، توسط Anthony Ferrara و Maarten van Grootel گزارش شده است.
باگهای یادشده برای Drupal versions prior to 5.12 و Drupal versions prior to 6.6 گزارش شده و راهحل آن نیز عبارت است از: بهروزرسانی به نسخه Drupal 5.12 یا دریافت بستههای تکمیلی از
http://drupal.org/files/sa-2008-067/SA-2008-067-5.11.patch و نیز بهروزرسانی به Drupal 6.6 و دریافت patch از آدرس
http://drupal.org/files/sa-2008-067/SA-2008-067-6.5.patch.
گفتنی است دروپال به زبان برنامهنویسی PHP نوشته شده است ولی برای مدیریت وبسایتهای مبتنی بر دروپال نیازی به دانستن این زبان نیست.