دروپال با فاصله‌ی 1 روزه، به‌روزرسانی دیگری منتشر کرد؛ آسیب‌پذیری دور زدن دسترسی وصله شد

برای سامانه‌ی مدیریت محتوای دروپال به‌روزرسانی برای نسخه‌های 8.2 و 8.3 منتشر شد تا یک آسیب‌پذیری حیاتیِ دور زدن دسترسی‌ها وصله شود. این آسیب‌پذیری توسط یکی از توسعه‌دهندگان دروپال کشف شده و دارای شناسه‌ی CVE-2017-6919 است. این آسیب‌پذیری توسط گروه امنیتی دروپال حیاتی در نظر گرفته شده هرچند که بهره‌برداری از آن شرایط خاص بر روی یک وب‌گاه را می‌طلبد.

 

وب‌گاه‌هایی در معرض بهره‌برداری از این آسیب‌پذیری قرار دارند که ماژول سرویس وب RESTful را فعال کرده و اجازه‌ی درخواست‌های PATCH را بدهند. همچنین مهاجم برای بهره‌برداری از این آسیب‌پذیری باید قادر باشد بر روی وب‌گاه هدف، یک حساب کاربری ایجاد کند. 

 

با این وجود، این آسیب‌پذیری بسیار جدی بوده و برای همین توسعه‌دهندگان دروپال نه تنها برای نسخه‌ی 8.3 بلکه برای نسخه‌ی 8.2 نیز وصله‌ منتشر کرده‌اند. دروپال قویاً به کاربران دروپال 8.2.x توصیه کرده تا سامانه‌های خود را به نسخه‌ی 8.2.2 ارتقاء دهند و سر فرصت به نسخه‌ی 8.3 مهاجرت کنند. در مورد دروپال 8.3 نیز آسیب‌پذیری با انتشار 8.3.1 وصله شده است و دروپال 7 نیز تحت تأثیر قرار نگرفته بود. 

 

گفته می‌شود آسیب‌پذیری‌هایی که ناشی از ماژول RESTWS هستند، در دنیای واقعی مورد بهره‌برداری قرار می‌گیرند. در سپتامبر سال 2016 میلادی محققان امنیتی تلاش‌هایی را مشاهده کردند که سعی داشتند از یک آسیب‌پذیری RESTWS بهره‌برداری کنند در حالی‌که دو ماه قبل از آن این آسیب‌پذیری وصله شده بود. 

 

آخرین به‌روزرسانی دروپال با فاصله‌ی یک روز از به‌روزرسانی دیگر منتشر شده است. دیروز شاهد بودیم که دروپال یک آسیب‌پذیری در یکی از ماژول‌های ثالث را وصله و برای آن به‌روزرسانی منتشر کرده بود. گفته می‌شود آسیب‌پذیری که دیروز وصله شده نزدیک به 120 هزار وب‌گاه را در معرض حمله قرار می‌دهد. 

 

آسیب‌پذیری روز قبل مربوط به ماژول References است که از سال 2013 میلادی تاکنون به‌روزرسانی نشده است و دروپال نیز از آن پشتیبانی نمی‌کند. با این‌حال دروپال برای این ماژول به دنبال پیدا کردن نگهدارنده‌ی بهتری است و فعلاً این آسیب‌پذیری وصله شده است.

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید