Drupal-brugere bør være forsigtige: Store sikkerhedshuller i systemet

Drupal har opdaget en hel række kritiske sårbarheder i det meget udbredte CMS-system. Du bør få dem rettet omgående.

Artikel top billede

Du bør være forsigtig, hvis du er en af de mange brugere af det open source-baserede CMS-systemet Drupal.

Organisationen bag løsningen har opdaget en hel række kritiske sårbarheder centralt i systemet, som nu skal lappes med en sikkerhedsopdatering, der nu er på vej ud til brugerne.

Opdateringen hedder Drupal 8.3.7, og den indeholder en række patches til sikkerhedshullerne.

I en udsendt sikkerheds-advisory, som du finder her, meddeler Drupal, at Drupal 8.3.7 ikke indeholder en eneste ny feature, men alene sikkerhedsopdateringerne.

Den store sikkerhedsopdatering bliver udsendt få dage efter, at Drupal udsendte en separat sikkerheds-advisory til Drupal 7.

Den mest alvorlige sårbarhed i den nyeste opdatering er en bypass-bug i Drupal 8 Core.

Den giver hackerne mulighed for nærmest fri og uhindret passage rundt i systemet.

Ifølge Drupal kan hackere via denne sårbarhed se, skabe, opdatere og slette sammehængende dele af systemet.

En anden sårbarhed gør det muligt at få ikke-godkendt adgang til Drupal-koden, når man opretter et såkaldt view i Drupal.

Her er det muligt for udvikleren at anvende Ajax til at opdatere display-data via forskellige filtrerings-parametre.

Men på grund af en bug begrænser det underliggende systemet ikke adgangen til Ajax til kun at omfatte views, der er konfigureret til Ajax.

Læs også:

Millioner af websider kan være ramt af alvorlige sårbarheder: Opdater til den nyeste PHP-version hurtigst muligt

Stor opgørelse over de mest populære CMS?er: Wordpress fejer alle konkurrenter af banen

Stiftere af Drupal og Wordpress ikke i tvivl: Internettet er truet

Navnenyt fra it-Danmark

Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

Iver Jakobsen

Comsystem A/S

Guardsix har pr. 1. april 2026 ansat Annbritt Andersen som Global Chief Revenue Officer (CRO). Hun skal især beskæftige sig med at geare organisationen til en markant skalering i Europa. Hun har tidligere beskæftiget sig med globale kommercielle strategier for nogle af branchens allerstørste spillere, herunder Microsoft. Nyt job
Netip A/S har pr. 1. maj 2026 ansat Michael Schou som Operations Manager ved netIP Aalborg og Aarhus. Han kommer fra en stilling som Senior Director - Head of IT hos BDO. Han har tidligere beskæftiget sig med flere områder indenfor IT-branchen, hvor han bla. også har drevet sin egen IT-virksomhed. Nyt job

Michael Schou

Netip A/S