Запушиха сериозна дупка в Drupal
Налагането на новата версия е добре да се направи допустимо по-бързо.
Екипите, грижещи се за сигурността на известната CMS платформа Drupal, сигнализираха за намерено и запушени няколко уязвимости в софтуера. Една от тях е избрана за сериозна и може да докара до неоторизираното осъществяване на злотворен код и завладяване на ресурса на основата на Drupal.
Въпросната накърнимост визира модула, отговарящ за контекстуалните връзки (Contextual Links) и се крие в неуспеха на модула да ги валидира съответно. Това може да докара до упоменатото осъществяване на далечен код, само че както и акцентират от Drupal, сполучливото експлоатиране на уязвимостта може да бъде осъществено единствено, в случай че атакуващата страна има достъп до акаунт, който разрешава достигането на упоменатите контекстуални връзки.
Друг сериозен проблем, който към този момент е адресиран се крие във функционалността DefaultMailSystem::mail(). Той е обвързван с неналичието на санитизация за някои променливи за shell причините при изпращане на поща.
Тези и други проблеми са адресирани във версии 7.60, 8.6.2 и 8.5.8 на Drupal. Нужно е навреме да наложите обновленията, защото евентуално опитите за офанзиви към към този момент документираните проблеми, да стартират скоро.
Екипите, грижещи се за сигурността на известната CMS платформа Drupal, сигнализираха за намерено и запушени няколко уязвимости в софтуера. Една от тях е избрана за сериозна и може да докара до неоторизираното осъществяване на злотворен код и завладяване на ресурса на основата на Drupal.
Въпросната накърнимост визира модула, отговарящ за контекстуалните връзки (Contextual Links) и се крие в неуспеха на модула да ги валидира съответно. Това може да докара до упоменатото осъществяване на далечен код, само че както и акцентират от Drupal, сполучливото експлоатиране на уязвимостта може да бъде осъществено единствено, в случай че атакуващата страна има достъп до акаунт, който разрешава достигането на упоменатите контекстуални връзки.
Друг сериозен проблем, който към този момент е адресиран се крие във функционалността DefaultMailSystem::mail(). Той е обвързван с неналичието на санитизация за някои променливи за shell причините при изпращане на поща.
Тези и други проблеми са адресирани във версии 7.60, 8.6.2 и 8.5.8 на Drupal. Нужно е навреме да наложите обновленията, защото евентуално опитите за офанзиви към към този момент документираните проблеми, да стартират скоро.
Източник: kaldata.com
КОМЕНТАРИ