به‌روزرسانی امنيتی دروپال
آسیب‌پذیری‌های دروپال برطرف شد
کد مطلب: 15299
تاریخ انتشار : سه شنبه ۱۰ ارديبهشت ۱۳۹۸ ساعت ۱۷:۰۰
 
در به‌روزرسانی امنيتی دروپال چند آسيب‌پذيری مهم برطرف می‌شود.
آسیب‌پذیری‌های دروپال برطرف شد
 
 
Share/Save/Bookmark
‫در به‌روزرسانی امنيتی دروپال چند آسيب‌پذيری مهم برطرف شد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، سیستم محبوب مدیریت محتوای ‫دروپال، به‌روزرسانی‌های امنیتی را برای رفع چند آسیب‌پذیری بسیار مهم منتشر کرد که می‌توانند به مهاجم اجازه دهد تا امنیت صدها هزار وب‌سایت را به‌خطر بیندارند.

تمام آسیب‌پذیری‌های امنیتی دروپال در ماه جاری در کتابخانه‌های شخص ثالث و در دروپال نسخه‌ ۸.۶، ۸.۵ و یا قدیمی‌تر و نسخه‌ ۷ قرار دارند.

یکی از این نقص‌های امنیتی، یک نقص XSS است که در یک افزونه‌ شخص ثالث به نام JQuery قرار دارد. این افزونه که محبوب‌ترین کتابخانه‌ جاوا اسکریپت است و توسط میلیون‌ها وب‌سایت استفاده می‌شود در هسته‌ دروپال به‌عنوان پیش‌فرض قرار دارد.

JQuery نسخه‌ ۳.۴.۰ را منتشر کرد تا آسیب‌پذیری گزارش‌شده را که هنوز شماره‌ CVE به آن اختصاص نیافته‌است و بر تمامی نسخه‌های قبلی این کتابخانه تأثیر می‌گذارد، وصله کند.

jQuery ۳.۴.۰ شامل اصلاحاتی برای رفع برخی رفتارهای ناخواسته هنگام استفاده از jQuery.extend(true,{},…) است. اگر یک شیء منبع، حاوی یک proto___property__ باشد، می‌تواند Object.prototype اصلی را گسترش دهد.

ممکن است این آسیب‌پذیری با برخی از ماژول‌های دروپال قابل بهره‌برداری باشد. سه آسیب‌پذیری امنیتی دیگر در مؤلفه‌های PHP Symfony قرار دارند که توسط دروپال هسته استفاده می‌شوند. این نقص‌ها عبارت‌اند از:

• نقص اجرای کد دلخواه با شناسه‌ CVE-۲۰۱۹-۱۰۹۱۰
• حملات دورزدن احراز هویت با شناسه ‌CVE-۲۰۱۹-۱۰۹۱۱
• نقص تزریق اسکریپت مخرب (XSS) با شناسه‌ CVE-۲۰۱۹-۱۰۹۰۹

با توجه به محبوبیت سوءاستفاده از دروپال در میان هکرها به‌شدت توصیه می‌شود که آخرین به‌روزرسانی این سیستم مدیریت محتوا در اسرع وقت نصب شوند.

کاربرانی که از دروپال ۸.۶ استفاده می‌کنند، باید آن‌را به دروپال ۸.۶.۱۵ به‌روزرسانی کنند. کاربرانی که از دروپال ۸.۵ یا قبل از آن استفاده می‌کنند به دروپال ۸.۵.۱۵ به‌روزرسانی کنند و کاربرانی که از دروپال ۷ استفاده می‌کنند به دروپال ۷.۶.۶ به‌روزرسانی کنند.
مرجع : مرکز ماهر