دروپال درباره دو آسیب پذیری حیاتی هشدار می دهد

دروپال درباره دو آسیب‌پذیری نسبتاً بحرانی هشدار داد که به مهاجمان اجازه می‌دهد داده‌ها را بازنویسی کنند و مقادیر غیرمجاز را تزریق کنند.
دروپال دو آسیب‌پذیری را در نسخه‌های 9.2 و 9.3 اعلام کرد که می‌تواند به مهاجم اجازه آپلود فایل‌های مخرب و کنترل یک سایت را بدهد. سطوح تهدید این دو آسیب‌پذیری به‌عنوان «متوسط بحرانی» رتبه‌بندی می‌شوند.
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) هشدار داد که این سوء استفاده ها می تواند منجر به کنترل یک وب سایت آسیب پذیر مبتنی بر دروپال توسط مهاجم شود.
CISA اعلام کرد:
دروپال به‌روزرسانی‌های امنیتی را برای رفع آسیب‌پذیری‌های دروپال 9.2 و 9.3 منتشر کرده است.
یک مهاجم می‌تواند از این آسیب‌پذیری‌ها برای به دست گرفتن کنترل سیستم آسیب‌دیده سوء استفاده کند.»
دروپال یک سیستم مدیریت محتوای متن باز محبوب است که به زبان برنامه نویسی PHP نوشته شده است.
بسیاری از سازمان های بزرگ مانند موسسه اسمیتسونیان، گروه موسیقی جهانی، فایزر، جانسون و جانسون، دانشگاه پرینستون و دانشگاه کلمبیا از دروپال برای وب سایت های خود استفاده می کنند.
اولین آسیب پذیری API فرم دروپال را تحت تأثیر قرار می دهد. این آسیب‌پذیری یک اعتبارسنجی ورودی نامناسب است، به این معنی که آنچه از طریق فرم API آپلود می‌شود در مورد مجاز بودن یا نبودن آن تأیید نمی‌شود.
اعتبارسنجی آنچه آپلود شده یا در یک فرم وارد می شود بهترین روش رایج است. به طور کلی، اعتبار سنجی ورودی با رویکرد Allow List انجام می شود که در آن فرم انتظار ورودی های خاصی را دارد و هر چیزی را که با ورودی یا آپلود مورد انتظار مطابقت ندارد رد می کند.
وقتی فرمی نتواند یک ورودی را تأیید کند، وب‌سایت را برای آپلود فایل‌هایی باز می‌گذارد که می‌توانند رفتار ناخواسته را در برنامه وب ایجاد کنند.
اعلامیه دروپال این موضوع خاص را توضیح داد:
API فرم هسته دروپال دارای آسیب‌پذیری است که در آن فرم‌های ماژول‌های سفارشی یا کمک‌شده خاص ممکن است در برابر اعتبارسنجی ورودی نامناسب آسیب‌پذیر باشند. این می تواند به مهاجم اجازه دهد مقادیر غیر مجاز را تزریق کند یا داده ها را بازنویسی کند. فرم‌های تحت تأثیر غیرمعمول هستند، اما در موارد خاص، مهاجم می‌تواند داده‌های مهم یا حساس را تغییر دهد.»
دور زدن دسترسی نوعی آسیب‌پذیری است که در آن ممکن است راهی برای دسترسی به بخشی از سایت از طریق مسیری وجود داشته باشد که بررسی کنترل دسترسی را ندارد، در نتیجه در برخی موارد کاربر می‌تواند به سطوحی که ندارد دسترسی پیدا کند. مجوز برای.
اعلامیه دروپال این آسیب‌پذیری را شرح می‌دهد:
«دروپال 9.3 یک API دسترسی موجودیت عمومی را برای بازبینی‌های موجود پیاده‌سازی کرد. با این حال، این API به طور کامل با مجوزهای موجود ادغام نشده بود، که منجر به برخی از دور زدن دسترسی احتمالی برای کاربرانی شد که به طور کلی به استفاده از ویرایش‌های محتوا دسترسی دارند، اما به موارد جداگانه گره و محتوای رسانه دسترسی ندارند.
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) و دروپال ناشران را تشویق می کنند تا توصیه های امنیتی را بررسی کرده و به آخرین نسخه ها به روز کنند.
دروپال به‌روزرسانی‌های امنیتی را منتشر می‌کند
هسته دروپال – نسبتاً بحرانی – اعتبار سنجی ورودی نامناسب – SA-CORE-2022-008
هسته دروپال – نسبتاً بحرانی – بای پس دسترسی – SA-CORE-2022-009
خبرنامه روزانه ما را از لورن بیکر بنیانگذار SEJ در مورد آخرین اخبار در صنعت دریافت کنید!
راجر مونتی یک بازاریاب جستجو با بیش از 20 سال تجربه است. ارائه ممیزی سایت، مشاوره تلفنی و محتوا و … [بیو کامل را بخوانید]
برای دریافت آخرین اخبار صنعت در خبرنامه روزانه ما مشترک شوید.
برای دریافت آخرین اخبار صنعت در خبرنامه روزانه ما مشترک شوید.

source
سئو سایت