چندین آسیبپذیری امنیتی در سیستم مدیریت محتوای دروپال وصله شد.
منبع : مرکز مدیریت راهبردی افتا
چندین آسیبپذیری امنیتی در سیستم مدیریت محتوای دروپال وصله شد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، سیستم مدیریت محتوای دروپال چندین بهروزرسانی امنیتی دریافت کردهاست. این بهروزرسانیها تعدادی آسیبپذیری نسبتا بحرانی را برطرف میکنند که به مهاجمان اجازه میدهند تا با دسترسی راه دور وبسایتهای دروپال را تحت کنترل خود درآورند.
یکی از آسیبپذیریها مرتبط با کتابخانه jQuery است و سایر آسیبپذیریها مربوط به مولفههای Symfony PHP هستند که منجر به تزریق کد از طریق وبگاه (XSS)، اجرای کد از راه دور و دور زدن فرایند احرازهویت میشوند.
به تازگی نسخه ۳,۴.۰ کتابخانه jQuery منتشر شد که در این نسخه یک آسیبپذیری امنیتی رفع شده است. این آسیبپذیری که تمامی نسخههای قبل از ۳.۴.۰ را تحتتاثیر قرار میدهد، سیستم مدیریت محتوا دروپال را نیز تحتتاثیر قرار میدهد. هنوز شناسه CVE به این آسیبپذیری اختصاص داده نشدهاست.
آسیبپذیریهای مربوط به مولفههای Symfony PHP دارای شناسههای CVE-۲۰۱۹-۱۰۹۰۹، CVE-۲۰۱۹-۱۰۹۱۰ و CVE-۲۰۱۹-۱۰۹۱۱ هستند که به ترتیب برای حملات XSS، اجرای کد دلخواه با دسترسی راه دور و دور زدن فرایند احرازهویت میتوانند مورد سوءاستفاده مهاجمان قرار گیرند.
نصب بهروزرسانیهای امنیتی دروپال برای رفع این آسیبپذیریها به شرح ذیل توصیه میشود:
• در صورت استفاده از نسخه ۸,۶ دروپال به نسخه ۸.۶.۱۵ بهروزرسانی شود، • در صورت استفاده از نسخه ۸,۵ دروپال به نسخه ۸.۵.۱۵ بهروزرسانی شود، • در صورت استفاده از نسخه ۷ دروپال به نسخه ۷,۶۶ بهروزرسانی شود.