دروپال درباره دو آسیب‌پذیری مهم هشدار می‌دهد

دروپال دو آسیب‌پذیری را اعلام کرد که بر نسخه‌های ۹.۲ و ۹.۳ تأثیر می‌گذارد که می‌تواند به مهاجم اجازه آپلود فایل‌های مخرب و کنترل یک سایت را بدهد. سطوح تهدید این دو آسیب‌پذیری به‌عنوان «متوسط بحرانی» رتبه‌بندی می‌شوند.

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) هشدار داد که این سوء استفاده ها می تواند منجر به کنترل یک وب سایت آسیب پذیر مبتنی بر دروپال توسط مهاجم شود.

CISA بیان کرد:

«دروپال به‌روزرسانی‌های امنیتی را برای رفع آسیب‌پذیری‌های مؤثر بر دروپال ۹.۲ و ۹.۳ منتشر کرده است.
یک مهاجم می‌تواند از این آسیب‌پذیری‌ها برای در دست گرفتن کنترل سیستم آسیب‌دیده سوء استفاده کند.»

دروپال

دروپال یک سیستم مدیریت محتوای منبع باز محبوب است که به زبان برنامه نویسی PHP نوشته شده است.

بسیاری از سازمان‌های بزرگ مانند موسسه اسمیتسونیان، گروه موسیقی جهانی، فایزر، جانسون و جانسون، دانشگاه پرینستون و دانشگاه کلمبیا از دروپال برای وب‌سایت‌های خود استفاده می‌کنند.

Form API – اعتبار سنجی ورودی نادرست

اولین آسیب‌پذیری روی API فرم دروپال تأثیر می‌گذارد. این آسیب‌پذیری یک اعتبارسنجی ورودی نامناسب است، به این معنی که آنچه از طریق فرم API آپلود می‌شود، تأیید نمی‌شود که آیا مجاز است یا نه.

اعتبار بخشیدن به آنچه آپلود شده یا در یک فرم وارد می شود بهترین روش رایج است. به طور کلی، اعتبار سنجی ورودی با رویکرد فهرست مجاز انجام می شود که در آن فرم انتظار ورودی های خاصی را دارد و هر چیزی را که با ورودی یا آپلود مورد انتظار مطابقت ندارد رد می کند.

وقتی فرمی نتواند یک ورودی را تأیید کند، وب‌سایت را برای آپلود فایل‌هایی باز می‌گذارد که می‌توانند رفتار ناخواسته را در برنامه وب ایجاد کنند.

اعلان دروپال این مشکل خاص را توضیح داد:

«API فرم هسته دروپال دارای آسیب‌پذیری است که در آن فرم‌های ماژول‌های سفارشی یا کمک‌شده خاص ممکن است در برابر اعتبارسنجی ورودی نامناسب آسیب‌پذیر باشند. این می تواند به مهاجم اجازه دهد مقادیر غیر مجاز را تزریق کند یا داده ها را بازنویسی کند. فرم‌های تحت تأثیر غیرمعمول هستند، اما در موارد خاص، مهاجم می‌تواند داده‌های مهم یا حساس را تغییر دهد.»

Drupal Core – Access Bypass

دسترسی بای‌پس نوعی آسیب‌پذیری است که در آن ممکن است راهی برای دسترسی به بخشی از سایت از طریق مسیری وجود داشته باشد که بررسی کنترل دسترسی را ندارد، در نتیجه در برخی موارد کاربر می‌تواند به سطوحی که نمی‌داند دسترسی پیدا کند. مجوز ندارم.

اعلان دروپال این آسیب‌پذیری را شرح می‌دهد:

«دروپال ۹.۳ یک API دسترسی موجودیت عمومی را برای بازبینی‌های موجود پیاده‌سازی کرد. با این حال، این API به طور کامل با مجوزهای موجود ادغام نشده است، که منجر به دور زدن دسترسی احتمالی برای کاربرانی شد که به طور کلی به استفاده از ویرایش‌های محتوا دسترسی دارند، اما به موارد جداگانه گره و محتوای رسانه دسترسی ندارند.”

ناشران تشویق می‌شوند تا توصیه‌های امنیتی را مرور کنند و به‌روزرسانی‌ها را اعمال کنند

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) و دروپال ناشران را تشویق می‌کنند تا توصیه‌های امنیتی را بررسی کرده و به آخرین نسخه‌ها به‌روزرسانی کنند.

نقل قول ها

بولتن رسمی آسیب پذیری CISA Drupal را بخوانید

دروپال به‌روزرسانی‌های امنیتی را منتشر می‌کند

دو اعلامیه امنیتی دروپال را بخوانید

هسته دروپال – نسبتاً بحرانی – اعتبارسنجی ورودی نامناسب – SA-CORE -2022-008

هسته دروپال – نسبتاً بحرانی – دور زدن دسترسی – SA-CORE- 009-2022

حتما بخوانید : دروپال درباره آسیب‌پذیری با شدت بالا هشدار می‌دهد

منبع : www.searchenginejournal.com

Category News Drupal

دروپال

Form API – اعتبار سنجی ورودی نادرست

Drupal Core – Access Bypass

ناشران تشویق می‌شوند تا توصیه‌های امنیتی را مرور کنند و به‌روزرسانی‌ها را اعمال کنند

نقل قول ها

بولتن رسمی آسیب پذیری CISA Drupal را بخوانید

دو اعلامیه امنیتی دروپال را بخوانید

مقالات مرتبط

دروپال در مورد چندین آسیب پذیری حیاتی هشدار می دهد

دروپال درباره آسیب‌پذیری با شدت بالا هشدار می‌دهد

پاسخ دهید لغو پاسخ