Sono state rilasciati pacchetti per l'aggiornamento di Drupal alle versioni 6.11 e 5.17. Le nuove versioni correggono una importante vulnerabilità critica per la sicurezza che può consentire in determinate circostanze attacchi "cross-site scripting".
Tralasciando i dettagli tecnici (disponibili nell'annuncio ufficiale per chi è interessato), la vulnerabilità consente ad un utente che sia autorizzato all'inserimento di contenuti, la possibilità di includere ed eseguire nel sito codice JavaScript potenzialmente dannoso.
L'origine del problema è un bug presente in Internet Explorer 6 e 7 che causa una errata decodifica di alcuni caratteri speciali.
Un'altra correzione riguarda una vulnerabilità di portata più limitata che consente di condurre un attacco CSRF ("cross-site request forgery") contro un form presente in prima pagina (non il form di login che è sicuro).
Per chi non potesse effettuare sollecitamente l'aggiornamento si consiglia di modificare i file "page.tpl.php" presente nella cartella dei propri temi spostando la linea
<?php print $head?>
immediatamente dopo il tag <HEAD> prima della linea che contiene il tag <TITLE>.
/https://www.html.it/app/uploads/2024/11/wordpress67-480x300.webp)
/https://www.html.it/app/uploads/2024/05/wordpress.jpeg)
/https://www.html.it/app/uploads/2024/05/wordpress.png)
/https://www.html.it/app/uploads/2024/05/WordPress.jpg)