پشتیبانی سیستم مدیریت محتوای دروپال با انتشار ویرایش ۸,۵.۶ این CMS، یک آسیبپذیری امنیتی (CVE-۲۰۱۸-۱۴۷۷۳) را برطرف کرده است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در توصیه امنیتی دروپال ذکر شدهاست که دروپال از کتابخانه Symfony استفاده میکند. کتابخانه Symfony یک بهروزرسانی امنیتی ارائه کردهاست که دروپال را نیز تحت تاثیر قرار میدهد. این آسیبپذیری در کتابخانههای Zend Feed و Diactoros نیز وجود دارد که در هسته دروپال مورد استفاده قرار گرفتهاند، هرچند که هسته دروپال از قابلیت آسیبپذیر آن استفاده نمیکند.
در صورتی که یک وبسایت یا ماژول بهطور مستقیم از Zend Feed و Diactoros استفاده میکند، اعمال بهروزرسانی یا وصله برای آن الزامی است. مولفه Symfony HttpFoundation یک کتابخانه ثالث است که در هسته دروپال استفاده شدهاست. نقص موجود ویرایشهای ۸.x قبل از ۸,۵.۶ دروپال را تحت تاثیر قرار میدهد.
Symfony یک چارچوب برنامه وب است که توسط بسیاری از پروژهها استفاده میشود. از این رو آسیبپذیری CVE-۲۰۱۸-۱۴۷۷۳ بهطور بالقوه میتواند برای تعداد زیادی از برنامههای وب خطراتی را ایجاد کند. این نقص بهدلیل پشتیبانی Symfony از فرایندهای HTTP قدیمی و خطرناک به وجود آمدهاست. فرایند IIS قدیمی پشتیبانی شده توسط Symfony به کاربر اجازه میدهد تا مسیر درخواست شده در آدرس URL را از طریق X-Original-URL یا X-Rewrite-URL بازنویسی کند که باعث میشود کاربر بتواند در کشهای سطح بالا و وب سرورها محدودیتها را دور بزند. بهروزرسانی منتشر شده پشتیبانی از فرایندهای X-Original-URL و X_REWRITE_URL را متوقف میکند. یک مهاجم از راه دور میتواند با ساختن مقادیر فرایند HTTP X-Original-URL یا X-Rewrite-URL از آسیبپذیری بهرهبرداری کند.
ویرایشهای ۲,۷.۴۹، ۲.۸.۴۴، ۳.۳.۱۸، ۳.۴.۱۴، ۴.۰.۱۴ و ۴.۱.۳ چارچوب Symfony نسبت به این نقص آسیبپذیر هستند. همانطور که اشاره شد، ایراد مشابه در کتابخانههای Zend Feed و Diactoros نیز وجود دارد.
• مدیران وبسایتهایی که بهطور مستقیم از کتابخانههای Zend Feed و Diactoros استفاده میکنند باید هرچه سریعتر وصلههای منتشر شده را اعمال کنند.
• مدیران وبسایتهایی که مبتنی بر دروپال هستند نیز باید در اسرع وقت، قبل از بهرهبرداری هکرها از آسیبپذیری CVE-۲۰۱۸-۱۴۷۷۳، CMS خود را بهروزرسانی کنند.