کد QR مطلبدریافت صفحه با کد QR

وصله آسیب‌پذیری در مدیریت محتوای دروپال

مرکز ماهر , 2 آذر 1399 ساعت 15:01

برای رفع آسیب‌پذیری اجرای کد از راه دور در سیستم مدیریت محتوای دروپال یک به‌روزرسانی منتشر شد.


برای رفع آسیب‌پذیری اجرای کد از راه دور در سیستم مدیریت محتوای دروپال یک به‌روزرسانی منتشر شد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، تیم توسعه دروپال به‌روزرسانی امنیتی را برای رفع ‫آسیب‌پذیری اجرای کد از راه دور منتشر کرده است. این آسیب‌پذیری ناشی از عدم فیلتر‌(sanitize) دقیق نام فایل‌های آپلودی است.

این آسیب‌پذیری که با شناسه CVE-۲۰۲۰-۱۳۶۷۱ پیگیری می‌شود بر اساس سیستم امتیازدهی استاندارد NIST Common Misuse Scoring System در دسته‌بندی شدت اهمیت بحرانی قرار دارد.

برای رفع این آسیب‌‌پذیری باید آخرین نسخه دروپال نصب شود.
• اگر از نسخه‌های سری ۹.۰ از دروپال استفاده می‌کنید، سیستم مدیریت محتوای خود را به نسخه ۹.۸.۰ از دروپال به‌روزرسانی کنید.
• اگر از نسخه‌های سری ۸.۹ از دروپال استفاده می‌کنید، سیستم مدیریت محتوای خود را به نسخه ۸.۹.۹ از دروپال به‌روزرسانی کنید.
• اگر از نسخه‌ ۸.۸ از دروپال یا نسخه‌های قبل‌تر از این نسخه استفاده می‌کنید، سیستم مدیریت محتوای خود را به نسخه ۸.۸.۱۱ از دروپال به‌روزرسانی کنید.
• اگر از نسخه‌های سری ۷از دروپال استفاده می‌کنید، سیستم مدیریت محتوای خود را به نسخه۷.۷۴ به‌روزرسانی کنید.

نسخه‌های سری ۸ از دروپال که پیش از انتشار نسخه‌های ۸.۸.x منتشرشده‌اند، منسوح شده هستند و تیم دروپال امنیت این نسخه‌ها از دروپال را پشتیبانی نمی‌کند. تیم دروپال همچنین توصیه کرده است تا تمام فایل‌هایی که پیش از به‌روزرسانی در سامانه آپلود شده‌اند با هدف شناسایی پسوند‌های مخرب بررسی شوند. به ویژه در جست‌و‌جوی فایل‌هایی با دو پسوند مانند filename.php.txt یا filename.html.gif باشید که شامل (_) در پسوند نباشند.

در مواردی که فایل‌های آپلود شده دارای یک یا چند پسوند از پسوند‌های ذکر شده در ذیل باشد لازم است، این فایل با دقت بیشتری بررسی شود.
• Phar
• phtml
• php
• pl
• py
• cgi
• asp
• js
• html
• htm

توجه کنید این لیست جامع نیست‌، بنابراین هر پسوند غیر مجازی با دقت بررسی شود.


کد مطلب: 17252

آدرس مطلب :
https://www.aftana.ir/news/17252/وصله-آسیب-پذیری-مدیریت-محتوای-دروپال

افتانا
  https://www.aftana.ir