Gli sviluppatori del noto CMS Open Source hanno reso disponibili Drupal 7.35 e Drupal 6.35, due versioni destinate ad aggiornare i rami stabili del progetto attualmente supportati dalla community, Drupal 8 è infatti ancora in fase di betatest e la prima Release Candidate non verrà rilasciata prima che tutte le problematiche attualmente in attesa di risoluzione (ad oggi poco meno di una cinquantina) non verranno rimosse.
In pratica, la prossima Major Release dell'applicazione sarà stabile solo quando.. pronta, seguendo in questo modo la stessa filosofia adottata per altre soluzioni libere e aperte come la distribuzione Linux based Debian; intanto Drupal 7.35 e 6.35 non aggiungono alcuna nuova funzionalità alle implementazioni 7.x e 6.x; come specificato in questi casi dallo stesso team del CMS "There are no new features or non-security-related bug fixes in these releases..".
Entrambe le precedenti release erano invece interessate da alcune vulnerabilità sintetizzate attraverso DRUPAL-SA-CORE-2015-001 e associate ad un livello di criticità moderato; in sostanza tali falle avrebbero potuto spianare la strada a minacce basate sull'Access bypass, forzando le URL per il reset della password in modo da accedere ad un account senza conoscerne le credenziali, e sull'Open Redirect, sfruttando dei parametri di querystring per la costruzione di URL con cui redirigere la navigazione degli utenti.
Il ramo 6.x non aggiornato all'ultimo rilascio sembrerebbe essere il più esposto ai pericoli derivanti dalla prima vulnerabilità, relativamente alla seconda è invece importante sottolineare che tutti i form per la conferma basati sulla form API di Drupal 7.x dovrebbero essere considerati a rischio, stesso discorso solo per alcuni form di Drupal 6.x.
Via Drupal