پشتیبانی سیستم مدیریت محتوای دروپال با انتشار ویرایش ۸,۵.۶ این CMS، یک آسیب‌پذیری امنیتی (CVE-۲۰۱۸-۱۴۷۷۳) را برطرف کرده است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در توصیه امنیتی دروپال ذکر شده‌است که دروپال از کتابخانه Symfony استفاده می‌کند. کتابخانه Symfony یک به‌روزرسانی امنیتی ارائه کرده‌است که دروپال را نیز تحت تاثیر قرار می‌دهد. این آسیب‌پذیری در کتابخانه‌های Zend Feed و Diactoros نیز وجود دارد که در هسته دروپال مورد استفاده قرار گرفته‌اند، هرچند که هسته دروپال از قابلیت آسیب‌پذیر آن استفاده نمی‌کند.

در صورتی که یک وب‌سایت یا ماژول به‌طور مستقیم از Zend Feed و Diactoros استفاده می‌کند، اعمال به‌روزرسانی یا وصله برای آن الزامی است. مولفه Symfony HttpFoundation یک کتابخانه ثالث است که در هسته دروپال استفاده شده‌است. نقص موجود ویرایش‌های ۸.x قبل از ۸,۵.۶ دروپال را تحت تاثیر قرار می‌دهد.

Symfony یک چارچوب برنامه وب است که توسط بسیاری از پروژه‌ها استفاده می‌شود. از این رو آسیب‌پذیری CVE-۲۰۱۸-۱۴۷۷۳ به‌طور بالقوه می‌تواند برای تعداد زیادی از برنامه‌های وب خطراتی را ایجاد کند. این نقص به‌دلیل پشتیبانی Symfony از فرایندهای HTTP قدیمی و خطرناک به وجود آمده‌است. فرایند IIS قدیمی پشتیبانی شده توسط Symfony به کاربر اجازه می‌دهد تا مسیر درخواست شده در آدرس URL را از طریق X-Original-URL یا X-Rewrite-URL بازنویسی کند که باعث می‌شود کاربر بتواند در کش‌های سطح بالا و وب سرورها محدودیت‌ها را دور بزند. به‌روزرسانی منتشر شده پشتیبانی از فرایندهای X-Original-URL و X_REWRITE_URL را متوقف می‌کند. یک مهاجم از راه دور می‌تواند با ساختن مقادیر فرایند HTTP X-Original-URL یا X-Rewrite-URL از آسیب‌پذیری بهره‌برداری کند.

ویرایش‌های ۲,۷.۴۹، ۲.۸.۴۴، ۳.۳.۱۸، ۳.۴.۱۴، ۴.۰.۱۴ و ۴.۱.۳ چارچوب Symfony نسبت به این نقص آسیب‌پذیر هستند. همان‌طور که اشاره شد، ایراد مشابه در کتابخانه‌های Zend Feed و Diactoros نیز وجود دارد.

• مدیران وب‌سایت‌هایی که به‌طور مستقیم از کتابخانه‌های Zend Feed و Diactoros استفاده می‌کنند باید هرچه سریع‌تر وصله‌های منتشر شده را اعمال کنند.

• مدیران وب‌سایت‌هایی که مبتنی بر دروپال هستند نیز باید در اسرع وقت، قبل از بهره‌برداری هکرها از آسیب‌پذیری CVE-۲۰۱۸-۱۴۷۷۳، CMS خود را به‌روزرسانی کنند.