Drupal-brugere bør være forsigtige: Store sikkerhedshuller i systemet

Drupal har opdaget en hel række kritiske sårbarheder i det meget udbredte CMS-system. Du bør få dem rettet omgående.

Artikel top billede

Du bør være forsigtig, hvis du er en af de mange brugere af det open source-baserede CMS-systemet Drupal.

Organisationen bag løsningen har opdaget en hel række kritiske sårbarheder centralt i systemet, som nu skal lappes med en sikkerhedsopdatering, der nu er på vej ud til brugerne.

Opdateringen hedder Drupal 8.3.7, og den indeholder en række patches til sikkerhedshullerne.

I en udsendt sikkerheds-advisory, som du finder her, meddeler Drupal, at Drupal 8.3.7 ikke indeholder en eneste ny feature, men alene sikkerhedsopdateringerne.

Den store sikkerhedsopdatering bliver udsendt få dage efter, at Drupal udsendte en separat sikkerheds-advisory til Drupal 7.

Den mest alvorlige sårbarhed i den nyeste opdatering er en bypass-bug i Drupal 8 Core.

Den giver hackerne mulighed for nærmest fri og uhindret passage rundt i systemet.

Ifølge Drupal kan hackere via denne sårbarhed se, skabe, opdatere og slette sammehængende dele af systemet.

En anden sårbarhed gør det muligt at få ikke-godkendt adgang til Drupal-koden, når man opretter et såkaldt view i Drupal.

Her er det muligt for udvikleren at anvende Ajax til at opdatere display-data via forskellige filtrerings-parametre.

Men på grund af en bug begrænser det underliggende systemet ikke adgangen til Ajax til kun at omfatte views, der er konfigureret til Ajax.

Læs også:

Millioner af websider kan være ramt af alvorlige sårbarheder: Opdater til den nyeste PHP-version hurtigst muligt

Stor opgørelse over de mest populære CMS?er: Wordpress fejer alle konkurrenter af banen

Stiftere af Drupal og Wordpress ikke i tvivl: Internettet er truet

Læses lige nu

    Navnenyt fra it-Danmark

    Pentos har pr. 2. juni 2025 ansat Jonas Kyhnau som Seniorkonsulent. Han skal især beskæftige sig med at rådgive virksomheder om HR digitalisering og implementering af SAP SuccessFactors og SmartRecruiters. Han kommer fra en stilling som Seniorkonsulent og PMO lead hos Gavdi. Han er uddannet Cand.merc Human Resource Management fra Copenhagen Business School. Han har tidligere beskæftiget sig med med Onboarding, Employee Central (Core HR). Nyt job

    Jonas Kyhnau

    Pentos

    SAP SuccessFactors Partner Pentos har pr. 1. marts 2026 ansat Plamena Cherneva som Seniorkonsulent indenfor SuccessFactors HCM. Hun skal især beskæftige sig med konfiguration og opsætning af SuccessFactors suiten, samt udvikle smarte løsninger til mellemstore danske virksomheder. Hun kommer fra en stilling som løsningsarkitekt indenfor HR IT hos LEO Pharma. Hun har tidligere beskæftiget sig med HR procesdesign, stamdata og onboarding. Nyt job

    Plamena Cherneva

    SAP SuccessFactors Partner Pentos

    Tinne Schjoldan Gyllich, Director, CX & Services (Customer Adoption) hos TDC Erhverv, er pr. 1. juni 2026 forfremmet til Senior Director, Head of Partnerships. Tinne skal fremover især beskæftige sig med at drive strategiske partnerskaber, styrke økosystemet og skabe vækst gennem partnerbaseret omsætning. Forfremmelse
    Alexander Hoffmann, SVP, Technology & IT hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Tech, IT & Security. Han skal fremover især beskæftige sig med at lede den fortsatte udvikling af en mere integreret og software-drevet infrastrukturplatform. Forfremmelse

    Alexander Hoffmann

    GlobalConnect