انتشار شده در تاریخ 1398/02/02 - 11:53

رفع چندین آسیب‌پذیری در دروپال

سیستم مدیریت محتوا دروپال چندین به‌روزرسانی امنیتی دریافت کرده است.

به گزارش کارگروه امنیت سایبربان؛ این به‌روزرسانی‌ها تعدادی آسیب‌پذیری نسبتاً بحرانی را برطرف می‌کنند که به مهاجمین اجازه می‌دهند تا با دسترسی راه دور وب‌سایت‌های دروپال را تحت کنترل خود درآورند.

به گزارش معاونت بررسی مرکز افتا، یکی از آسیب‌پذیری‌ها مرتبط با کتابخانه jQuery است و سایر آسیب‌پذیری‌ها مربوط به مؤلفه‌های Symfony PHP هستند که منجر به تزریق کد از طریق وب‌گاه (XSS)، اجرای کد از راه دور و دور زدن فرایند احراز هویت می‌شوند.

هفته گذشته نسخه ۳,۴.۰ کتابخانه jQuery منتشر شد که در این نسخه یک آسیب‌پذیری امنیتی رفع شده است. این آسیب‌پذیری که تمامی نسخه‌های قبل از ۳.۴.۰ را تحت تأثیر قرار می‌دهد، سیستم مدیریت محتوا دروپال را نیز تحت تأثیر قرار می‌دهد. به این آسیب‌پذیری هنوز شناسه CVE اختصاص داده نشده است.

آسیب‌پذیری‌های مربوط به مؤلفه‌های Symfony PHP دارای شناسه‌های CVE-۲۰۱۹-۱۰۹۰۹، CVE-۲۰۱۹-۱۰۹۱۰ و CVE-۲۰۱۹-۱۰۹۱۱ هستند که به ترتیب برای حملات XSS، اجرای کد دلخواه با دسترسی راه دور و دور زدن فرایند احراز هویت می‌توانند مورد سوءاستفاده مهاجمین قرار گیرند.

برای رفع این آسیب‌پذیری‌ها توصیه می‌شود تا نسبت به نصب به‌روزرسانی‌های امنیتی دروپال اقدام شود:

• در صورت استفاده از نسخه ۸,۶ دروپال به نسخه ۸.۶.۱۵ به‌روزرسانی شود،
• در صورت استفاده از نسخه ۸,۵ دروپال به نسخه ۸.۵.۱۵ به‌روزرسانی شود،
• در صورت استفاده از نسخه ۷ دروپال به نسخه ۷,۶۶ به‌روزرسانی شود.