کشف یک آسیب‌پذیری بحرانی جدید در دروپال

توسعه‌دهندگان نرم‌افزار سیستم مدیریت محتوای متن‌باز دروپال برای وصله‌ی آسیب‌پذیری بحرانی جدید آخرین نسخه‌ی نرم‌افزار خود را منتشر کردند. این آسیب‌پذیری به مهاجمان راه دور اجازه می‌دهد تا به وب‌گاه‌ها نفوذ کنند. به‌روزرسانی جدید دو روز پس از انتشار اعلان امنیتی گروه امنیتی دروپال عرضه شد که به مدیران وب‌گاه‌ها این امکان را می‌دهد تا آسیب‌پذیری وب‌گاه‌های خود را قبل از بهره‌برداری توسط نفوذگران رفع کنند.

گروه امنیتی دروپال اعلام کرد که این آسیب‌پذیری یک آسیب‌پذیری بحرانی اجرای کد از راه دور در هسته‌ی دروپال است که ممکن است در برخی موارد منجر به اجرای کد دلخواه پی‌اِچ‌پی شود. بااین‌که گروه دروپال جزئیات فنی این آسیب‌پذیری (CVE-2019-6340) را منتشر نکرد، اما یادآور شد که دلیل وجود این آسیب‌پذیری این است که برخی از انواع فیلدها، داده‌های منابع غیرمجاز را به‌درستی پاک‌سازی نمی‌کنند و درنتیجه هسته‌ی دروپال ۷ و ۸ تحت تأثیر قرار می‌گیرد. لازم به ذکر است که وب‌گاه مبتنی‌بر دروپال تنها درصورتی تحت تأثیر قرار می‌گیرد که مؤلفه‌ی وب‌سرویس‌های رِست‌فول فعال باشد و اجازه‌ی درخواست‌های PATCH ‌ یا POST را داشته باشد و یا مؤلفه‌ی سایر وب‌سرویس‌ها فعال باشد.

در صورتی‌که مدیران وب‌گاه نتوانند بلافاصله آخرین به‌روزرسانی منتشرشده را نصب کنند، به‌سادگی با غیرفعال کردن مؤلفه‌های همه‌ی وب‌سرویس‌ها و یا با پیکربندی وب‌سرور برای حذف مجوز درخواست‌های PUT/PATCH/POST منابع وب‌سرویس‌ها می‌توانند با این آسیب‌پذیری مقابله کنند. مدیران وب‌گاه توجه داشته باشند که منابع وب‌سرویس‌ها ممکن است بسته به پیکربندی سرور در مسیرهای مختلفی قرار داشته باشند. دروپال به کاربران خود توصیه می‌کند که آخرین به‌روزرسانی را نصب کنند.

منبع

پست‌های مشابه

Leave a Comment

نه + هفت =