وصله‌ی آسیب‌پذیری در سیستم مدیریت محتوای دروپال

جدیدترین نسخه‌ی منتشرشده برای سیستم مدیریت محتوای دروپال، با وصله‌ی آسیب‌پذیری‌های اسکریپت‌نویسی میان‌وبگاهی و Open Redirect که با شدت نسبتاً بحرانی رتبه‌بندی شده‌اند، همراه است.

طبق گزارش‌ها، در نسخه‌ی ۷٫۷۰ دروپال یک آسیب‌پذیری تغییر Open Redirect مربوط به اعتبارسنجی ناکافیِ پارامتر جستجوی مقصد در تابع ()drupal_goto وصله شده است. به گفته‌ی دروپال، مهاجم می‌تواند با بهره‌برداری از این نقص و ترغیب کاربران برای کلیک بر روی یک لینک طراحی‌شده، آن‌ها را به سمت URL دلخواه هدایت کند.

از سوی دیگر، در جدیدترین نسخه‌ی دروپال دو آسیب‌پذیری اسکریپت‌نویسی میان‌وبگاهی نیز که در پروژه‌ی jQuery وجود دارند، وصله شده‌اند. توسعه‌دهندگان jQuery این آسیب‌پذیری‌ها را ماه گذشته و با انتشار نسخه‌ی ۳٫۵٫۰ وصله کرده بودند. حال، دروپال نیز با هدف جلوگیری از بهره‌برداری‌های احتمالی، نسخه‌ی jQuery خود را به‌روز کرده است.

علاوه‌براین، نسخه‌های ۸٫۸ و ۸٫۷ دروپال نیز تحت تأثیر این آسیب‌پذیری‌های اسکریپت‌نویسی میان‌وبگاهی قرار دارند که این مشکل، با انتشار نسخه‌های ۸٫۸٫۶ و ۸٫۷٫۱۴ برطرف شده است.

این دومین به‌روزرسانی امنیتی منتشرشده توسط دروپال در سال ۲۰۲۰ میلادی است. در ماه مارس، این شرکت از وصله‌کردن چند آسیب‌پذیری نسبتاً بحرانی از نوع اسکریپت‌نویسی میان‌وبگاهی، که ویرایش‌گر متن‌باز WYSIWYG در CKEditor را تحت تأثیر قرار می‌دادند، خبر داده بود.

درحالی‌که سیستم مدیریت محتوای دروپال به اندازه‌ی وردپرس هدف حمله‌ی مهاجمان قرار نمی‌گیرد، اما نفوذگرها همچنان از آسیب‌پذیری‌های موجود در آن برای سرقت وب‌سایت‌ها بهره‌برداری می‌کنند.

منبع

پست‌های مشابه

Leave a Comment