توسعهدهندگان دروپال برای رفع چندین آسیبپذیری مهم و بحرانی در هسته خود وصله های امنیتی را در قالب بهروزرسانیهایی منتشر کرده است. سوءاستفاده از این آسیبپذیریها به مهاجمان این اجازه را میدهد تا امنیت وبسایتهای مبتنی بر دروپال را به خطر بیندازند.
با توجه به گفته توسعهدهندگان دروپال، تمام آسیبپذیریهای امنیتی در ماه جاری در کتابخانههای شخص ثالث قرار دارند که در دروپال ۸.۶، دروپال ۸.۵ و یا پایینتر و دروپال نسخه ۷ قرار دارند.
یکی از این موارد آسیبپذیری XSS است که در کتابخانه JQuery، محبوبترین کتابخانه جاوا اسکریپت است که توسط میلیونها وبسایت استفاده میشود و در دروپال استفاده میشود. البته چند روز پیش که نسخه ۳.۴.۰ از کتابخانه JQuery ارائه شد این آسیبپذیری رفع شده است.
سه آسیبپذیری امنیتی در فریمورک PHP Symfony وجود دارد که توسط هسته دروپال استفاده میشوند. این آسیبپذیریها به مهاجم اجازه حملات XSS (CVE-2019-10909)، اجرای کد از راه دور (CVE-2019-10910) و دور زدن احراز هویت (CVE-2019-1091) را میدهد.
با توجه محبوبیت سوءاستفاده از دروپال در میان هکرها، توصیه میشود که آخرین وصله های امنیتی سیستم مدیریت محتوا دروپال اعمال شود:
- چنانچه از دروپال ۸.۶ استفاده میکنید، به Drupal 8.6.15 بهروزرسانی کنید.
- چنانچه از دروپال ۸.۵ یا قبل از آن استفاده میکنید، به دروپال ۸.۵.۱۵ بهروزرسانی کنید.
- و اگر از دروپال ۷ استفاده میکنید، به دروپال ۷.۶۶ بهروزرسانی کنید.
مطالب مرتبط:
جایزه برای باگ یابی امنیتی نرمافزارهای متنباز
دروپال وصله جدیدی برای چندین باگ مهم منتشر کرد
آلودگی بزرگ localstorage[.]tk از طریق Drupal
منبع: The Hacker News
