دروپال دو آسیبپذیری را اعلام کرد که بر نسخههای ۹.۲ و ۹.۳ تأثیر میگذارد که میتواند به مهاجم اجازه آپلود فایلهای مخرب و کنترل یک سایت را بدهد. سطوح تهدید این دو آسیبپذیری بهعنوان «متوسط بحرانی» رتبهبندی میشوند.
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) هشدار داد که این سوء استفاده ها می تواند منجر به کنترل یک وب سایت آسیب پذیر مبتنی بر دروپال توسط مهاجم شود.
CISA بیان کرد:
«دروپال بهروزرسانیهای امنیتی را برای رفع آسیبپذیریهای مؤثر بر دروپال ۹.۲ و ۹.۳ منتشر کرده است.
یک مهاجم میتواند از این آسیبپذیریها برای در دست گرفتن کنترل سیستم آسیبدیده سوء استفاده کند.»
دروپال
دروپال یک سیستم مدیریت محتوای منبع باز محبوب است که به زبان برنامه نویسی PHP نوشته شده است.
بسیاری از سازمانهای بزرگ مانند موسسه اسمیتسونیان، گروه موسیقی جهانی، فایزر، جانسون و جانسون، دانشگاه پرینستون و دانشگاه کلمبیا از دروپال برای وبسایتهای خود استفاده میکنند.
Form API – اعتبار سنجی ورودی نادرست
اولین آسیبپذیری روی API فرم دروپال تأثیر میگذارد. این آسیبپذیری یک اعتبارسنجی ورودی نامناسب است، به این معنی که آنچه از طریق فرم API آپلود میشود، تأیید نمیشود که آیا مجاز است یا نه.
اعتبار بخشیدن به آنچه آپلود شده یا در یک فرم وارد می شود بهترین روش رایج است. به طور کلی، اعتبار سنجی ورودی با رویکرد فهرست مجاز انجام می شود که در آن فرم انتظار ورودی های خاصی را دارد و هر چیزی را که با ورودی یا آپلود مورد انتظار مطابقت ندارد رد می کند.
وقتی فرمی نتواند یک ورودی را تأیید کند، وبسایت را برای آپلود فایلهایی باز میگذارد که میتوانند رفتار ناخواسته را در برنامه وب ایجاد کنند.
اعلان دروپال این مشکل خاص را توضیح داد:
«API فرم هسته دروپال دارای آسیبپذیری است که در آن فرمهای ماژولهای سفارشی یا کمکشده خاص ممکن است در برابر اعتبارسنجی ورودی نامناسب آسیبپذیر باشند. این می تواند به مهاجم اجازه دهد مقادیر غیر مجاز را تزریق کند یا داده ها را بازنویسی کند. فرمهای تحت تأثیر غیرمعمول هستند، اما در موارد خاص، مهاجم میتواند دادههای مهم یا حساس را تغییر دهد.»
Drupal Core – Access Bypass
دسترسی بایپس نوعی آسیبپذیری است که در آن ممکن است راهی برای دسترسی به بخشی از سایت از طریق مسیری وجود داشته باشد که بررسی کنترل دسترسی را ندارد، در نتیجه در برخی موارد کاربر میتواند به سطوحی که نمیداند دسترسی پیدا کند. مجوز ندارم.
اعلان دروپال این آسیبپذیری را شرح میدهد:
«دروپال ۹.۳ یک API دسترسی موجودیت عمومی را برای بازبینیهای موجود پیادهسازی کرد. با این حال، این API به طور کامل با مجوزهای موجود ادغام نشده است، که منجر به دور زدن دسترسی احتمالی برای کاربرانی شد که به طور کلی به استفاده از ویرایشهای محتوا دسترسی دارند، اما به موارد جداگانه گره و محتوای رسانه دسترسی ندارند.”
ناشران تشویق میشوند تا توصیههای امنیتی را مرور کنند و بهروزرسانیها را اعمال کنند
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) و دروپال ناشران را تشویق میکنند تا توصیههای امنیتی را بررسی کرده و به آخرین نسخهها بهروزرسانی کنند.
نقل قول ها
بولتن رسمی آسیب پذیری CISA Drupal را بخوانید
دروپال بهروزرسانیهای امنیتی را منتشر میکند
دو اعلامیه امنیتی دروپال را بخوانید
هسته دروپال – نسبتاً بحرانی – اعتبارسنجی ورودی نامناسب – SA-CORE -2022-008
هسته دروپال – نسبتاً بحرانی – دور زدن دسترسی – SA-CORE- 009-2022