Сегодня вышла статья на xakep.ru в которой утверждается, что..
Уязвимость позволяет удаленному пользователю обойти ограничения безопасности и выполнить XSS нападение на целевую систему.
1) Уязвимость существует из-за недостаточной обработки входных данных при обработке HTTP запросов. Атакующий может обманным образом заманить пользователя на специально составленный сайт, что позволит отправлять кэшированные формы и формы содержащие AHAH элементы, а также выгружать файлы.
2) Уязвимость существует из-за неправильного ограничения доступа к модулю Upload. Атакующий может редактировать ноды, удалять файлы, и загружать вложения не имея достаточных прав.
Уважаемые знатоки, внимание вопрос! Кто тормоз?!
Комментарии
http://drupal.org/node/295053
В хакере написано про 6.3