توسعهدهندگان نرمافزار سیستم مدیریت محتوای متنباز دروپال برای وصلهی آسیبپذیری بحرانی جدید آخرین نسخهی نرمافزار خود را منتشر کردند. این آسیبپذیری به مهاجمان راه دور اجازه میدهد تا به وبگاهها نفوذ کنند. بهروزرسانی جدید دو روز پس از انتشار اعلان امنیتی گروه امنیتی دروپال عرضه شد که به مدیران وبگاهها این امکان را میدهد تا آسیبپذیری وبگاههای خود را قبل از بهرهبرداری توسط نفوذگران رفع کنند.
گروه امنیتی دروپال اعلام کرد که این آسیبپذیری یک آسیبپذیری بحرانی اجرای کد از راه دور در هستهی دروپال است که ممکن است در برخی موارد منجر به اجرای کد دلخواه پیاِچپی شود. بااینکه گروه دروپال جزئیات فنی این آسیبپذیری (CVE-2019-6340) را منتشر نکرد، اما یادآور شد که دلیل وجود این آسیبپذیری این است که برخی از انواع فیلدها، دادههای منابع غیرمجاز را بهدرستی پاکسازی نمیکنند و درنتیجه هستهی دروپال ۷ و ۸ تحت تأثیر قرار میگیرد. لازم به ذکر است که وبگاه مبتنیبر دروپال تنها درصورتی تحت تأثیر قرار میگیرد که مؤلفهی وبسرویسهای رِستفول فعال باشد و اجازهی درخواستهای PATCH یا POST را داشته باشد و یا مؤلفهی سایر وبسرویسها فعال باشد.
در صورتیکه مدیران وبگاه نتوانند بلافاصله آخرین بهروزرسانی منتشرشده را نصب کنند، بهسادگی با غیرفعال کردن مؤلفههای همهی وبسرویسها و یا با پیکربندی وبسرور برای حذف مجوز درخواستهای PUT/PATCH/POST منابع وبسرویسها میتوانند با این آسیبپذیری مقابله کنند. مدیران وبگاه توجه داشته باشند که منابع وبسرویسها ممکن است بسته به پیکربندی سرور در مسیرهای مختلفی قرار داشته باشند. دروپال به کاربران خود توصیه میکند که آخرین بهروزرسانی را نصب کنند.
