Drupal-brugere bør være forsigtige: Store sikkerhedshuller i systemet

Drupal har opdaget en hel række kritiske sårbarheder i det meget udbredte CMS-system. Du bør få dem rettet omgående.

Artikel top billede

Du bør være forsigtig, hvis du er en af de mange brugere af det open source-baserede CMS-systemet Drupal.

Organisationen bag løsningen har opdaget en hel række kritiske sårbarheder centralt i systemet, som nu skal lappes med en sikkerhedsopdatering, der nu er på vej ud til brugerne.

Opdateringen hedder Drupal 8.3.7, og den indeholder en række patches til sikkerhedshullerne.

I en udsendt sikkerheds-advisory, som du finder her, meddeler Drupal, at Drupal 8.3.7 ikke indeholder en eneste ny feature, men alene sikkerhedsopdateringerne.

Den store sikkerhedsopdatering bliver udsendt få dage efter, at Drupal udsendte en separat sikkerheds-advisory til Drupal 7.

Den mest alvorlige sårbarhed i den nyeste opdatering er en bypass-bug i Drupal 8 Core.

Den giver hackerne mulighed for nærmest fri og uhindret passage rundt i systemet.

Ifølge Drupal kan hackere via denne sårbarhed se, skabe, opdatere og slette sammehængende dele af systemet.

En anden sårbarhed gør det muligt at få ikke-godkendt adgang til Drupal-koden, når man opretter et såkaldt view i Drupal.

Her er det muligt for udvikleren at anvende Ajax til at opdatere display-data via forskellige filtrerings-parametre.

Men på grund af en bug begrænser det underliggende systemet ikke adgangen til Ajax til kun at omfatte views, der er konfigureret til Ajax.

Læs også:

Millioner af websider kan være ramt af alvorlige sårbarheder: Opdater til den nyeste PHP-version hurtigst muligt

Stor opgørelse over de mest populære CMS?er: Wordpress fejer alle konkurrenter af banen

Stiftere af Drupal og Wordpress ikke i tvivl: Internettet er truet

Navnenyt fra it-Danmark

Guardsix har pr. 1. maj 2026 ansat Louise Sara Baunsgaard som Global Marketing & Communications Director. Hun skal især beskæftige sig med at positionere virksomheden som et europæisk alternativ i en tid, hvor cybersikkerhed i høj grad handler om geopolitik. Hun kommer fra en stilling som Co-Founder og CMO hos Get BOB. Hun er uddannet Ba.ling.merc fra CBS og har desuden en Mini MBA i marketing. Hun har tidligere beskæftiget sig med marketing og kommunikation i ledende nordiske roller hos bl.a. Meta og Nets. Nyt job
Sharp Consumer Electronics har pr. 1. april 2026 ansat Daniel Eriksson som salgsdirektør for de nordiske lande. Han skal især beskæftige sig med at accelerere virksomhedens vækst i Norden. Han kommer fra en stilling som nordisk salgsdirektør hos Hisense. Han har tidligere beskæftiget sig med detailhandel, kommerciel strategi og markedsudvidelser med bemærkelsesværdige resultater til følge. Nyt job

Daniel Eriksson

Sharp Consumer Electronics

IFS Danmark A/S har pr. 1. juni 2026 ansat Lasse Hounsgaard som AI Account Executive. Lasse skal især beskæftige sig med udrulning af IFS.ai Logistics i Norden. Lasse kommer fra en stilling som Manufacturing Account Executive hos Autodesk ApS. Lasse er uddannet cand.merc. i International Virksomhedsøkonomi. Lasse har tidligere beskæftiget sig med digitalisering af danske og nordiske virksomheder. Nyt job

Lasse Hounsgaard

IFS Danmark A/S

SAP SuccessFactors Partner Pentos har pr. 1. marts 2026 ansat Plamena Cherneva som Seniorkonsulent indenfor SuccessFactors HCM. Hun skal især beskæftige sig med konfiguration og opsætning af SuccessFactors suiten, samt udvikle smarte løsninger til mellemstore danske virksomheder. Hun kommer fra en stilling som løsningsarkitekt indenfor HR IT hos LEO Pharma. Hun har tidligere beskæftiget sig med HR procesdesign, stamdata og onboarding. Nyt job

Plamena Cherneva

SAP SuccessFactors Partner Pentos