Vulnerabilidades solucionadas:

• Suplantación (módulo OpenID - Drupal 6 y 7 - Muy crítico)

  Una vulnerabilidad fue encontrada en el módulo de OpenID que permite a un usuario malicioso entrar como otros usuarios en el sitio, incluyendo administradores, y secuestrar sus cuentas.

  Esta vulnerabilidad se ve mitigada por el hecho de que el usuario malintencionado debe tener una cuenta en el sitio (o ser capaz de crear una), y la víctima debe tener una cuenta con una o más identidades OpenID asociadas.

• Bypass de acceso (módulo Taxonomy - Drupal 7 - Moderadamente crítico)

  El módulo Taxonomy proporciona varias páginas del listado que muestran contenido etiquetado con un término particular de taxonomía. Módulos personalizados o relacionados también pueden proporcionar listados similares. Bajo ciertas circunstancias, el contenido inédito puede aparecer en estas páginas y estará visible para los usuarios que no deben tener permiso para verlo.

  Esta vulnerabilidad se ve mitigada por el hecho de que sólo se produce en sitios de Drupal 7 que son actualizados desde Drupal 6 o anteriores.

• Endurecimiento de Seguridad ( API Form - Drupal 7 - No es crítico)

  El API de forma proporciona un método para que los desarrolladores desarrollar formularios de envío utilizando la función drupal_form_submit(). Durante el envío de programático de formularios, todos los controles de acceso están deliberadamente anulados y cualquier elemento de formulario se pueden presentar independientemente del nivel de acceso del usuario actual.

  Este es un comportamiento normal y esperado en la mayoría de los usos de los envíos de formularios programáticas, sin embargo, hay casos en que código personalizado o contribuciones pueden necesitar enviar los datos proporcionados por el usuario actual (no confiable) con drupal_form_submit () y , por tanto, tienen que respetar el control de acceso en la formulario.

  Para facilitar esto, un nuevo elemento opcional $ form_state [ ' programmed_bypass_access_check ' ] se ha añadido a la forma de Drupal 7 API. Si esto se proporciona y se establece en FALSE, drupal_form_submit () realizará las comprobaciones normales de acceso a la forma contra el usuario actual , mientras que la presentación de la forma , en lugar de pasar por ellos.

  Este cambio no soluciona un problema de seguridad en el núcleo de Drupal por si mismo, sino más bien proporciona un método para código personalizado o contribuciones solucionen los problemas de seguridad que serían difíciles o imposibles de resolver de otra manera .