در بهروزرسانی امنيتی دروپال چند آسيبپذيری مهم برطرف میشود.
منبع : مرکز ماهر
در بهروزرسانی امنيتی دروپال چند آسيبپذيری مهم برطرف شد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، سیستم محبوب مدیریت محتوای دروپال، بهروزرسانیهای امنیتی را برای رفع چند آسیبپذیری بسیار مهم منتشر کرد که میتوانند به مهاجم اجازه دهد تا امنیت صدها هزار وبسایت را بهخطر بیندارند.
تمام آسیبپذیریهای امنیتی دروپال در ماه جاری در کتابخانههای شخص ثالث و در دروپال نسخه ۸.۶، ۸.۵ و یا قدیمیتر و نسخه ۷ قرار دارند.
یکی از این نقصهای امنیتی، یک نقص XSS است که در یک افزونه شخص ثالث به نام JQuery قرار دارد. این افزونه که محبوبترین کتابخانه جاوا اسکریپت است و توسط میلیونها وبسایت استفاده میشود در هسته دروپال بهعنوان پیشفرض قرار دارد.
JQuery نسخه ۳.۴.۰ را منتشر کرد تا آسیبپذیری گزارششده را که هنوز شماره CVE به آن اختصاص نیافتهاست و بر تمامی نسخههای قبلی این کتابخانه تأثیر میگذارد، وصله کند.
jQuery ۳.۴.۰ شامل اصلاحاتی برای رفع برخی رفتارهای ناخواسته هنگام استفاده از jQuery.extend(true,{},…) است. اگر یک شیء منبع، حاوی یک proto___property__ باشد، میتواند Object.prototype اصلی را گسترش دهد.
ممکن است این آسیبپذیری با برخی از ماژولهای دروپال قابل بهرهبرداری باشد. سه آسیبپذیری امنیتی دیگر در مؤلفههای PHP Symfony قرار دارند که توسط دروپال هسته استفاده میشوند. این نقصها عبارتاند از:
• نقص اجرای کد دلخواه با شناسه CVE-۲۰۱۹-۱۰۹۱۰ • حملات دورزدن احراز هویت با شناسه CVE-۲۰۱۹-۱۰۹۱۱ • نقص تزریق اسکریپت مخرب (XSS) با شناسه CVE-۲۰۱۹-۱۰۹۰۹
با توجه به محبوبیت سوءاستفاده از دروپال در میان هکرها بهشدت توصیه میشود که آخرین بهروزرسانی این سیستم مدیریت محتوا در اسرع وقت نصب شوند.
کاربرانی که از دروپال ۸.۶ استفاده میکنند، باید آنرا به دروپال ۸.۶.۱۵ بهروزرسانی کنند. کاربرانی که از دروپال ۸.۵ یا قبل از آن استفاده میکنند به دروپال ۸.۵.۱۵ بهروزرسانی کنند و کاربرانی که از دروپال ۷ استفاده میکنند به دروپال ۷.۶.۶ بهروزرسانی کنند.