دروپال ۸ چند آسیب‌پذیری دسترسی را وصله کرد

دروپال ۸ چند آسیب‌پذیری دسترسی را وصله کرد

دروپال ۸ چند آسیب‌پذیری دسترسی را وصله کرد‍

در آغاز تابستان دروپال نسخه‌های ۷ و ۸ خود را به جهت وصله آسیب‌پذیری را پویش‌های هرزنامه‌ای از اکتبر سال ۲۰۱۶ میلادی مورد بهره‌برداری قرار می‌گرفت، کند. به همبن خاط متخصصان دروپال به کاربران توصیه می کنند تا کاربران اطمینان حاصل کنند که بر پیکربندی صحیح تنظیمات و جدیدترین روزرسانی‌های امنیتی  بر روی وب‌گاه‌ آن‌ها اعمال شده باشد.

در به‌روزرسانی‌های امنیتی برای دروپال ۸ چند آسیب‌پذیری‌های دسترسی وصله شده است. این آسیب‌پذیری‌ توانسته بود به مؤلفه‌هایی نظیر views، واسط های برنامه‌نویسی REST و سامانه‌ی دسترسی به موجودیت‌ها را نفوذ کند.

یکی از مهم‌ترین آسیب‌پذیری‌ها، مربوط به سامانه‌ی دسترسی به موجودیت‌ها به شناسه‌ی CVE-۲۰۱۷-۶۹۲۵ است که به مهاجم امکان بهره‌برداری برای ایجاد، حذف، مشاهده و به‌روزرسانی موجودیت‌ها را می دهد. البته بنا به گفته‌ی توسعه‌دهندگان دروپال، این آسیب‌پذیری تنها در موجودیت‌های فاقد UUID موجود و قابل بهره‎براداری هستند.

دروپال ۸ چند آسیب‌پذیری دسترسی را وصله کرد

آسیب‌پذیری‌ دیگری با شناسه‌ی CVE-۲۰۱۷-۶۹۲۴ که به عنوان آسیب‌پذیری‌ حیاتی به تازگی وصله شده،  وب‌گاه‌هایی با ماژول سرویس وب RESTful  و موجودیت ارسال نظرات REST را هدف نفوذ سایبری قرار می دهد و واسط‌های برنامه‌نویسی REST برای دور زدن روش تأیید نظرات استفاده می‌کند. توسعه‌دهندگان دروپال گفتند با استفاده از این واسط‌های برنامه‌نویسی، مهاجمان می‌توانند بدون داشتن مجوزهای ویژه، نظرات خود را ارسال کنند. البته مهاجم برای بهره‌برداری از این حفره امنیتی، نیازمند دسترسی به یک حساب کاربری با مجوز ارسال نظرات و یا نفوذ به وب‎گاهی با امکان ارسال آزاد نظرات برای عموم افراد خواهد بود.

دروپال ۸ چند آسیب‌پذیری دسترسی را وصله کرد

آسیب‌پذیری‌های مؤلفه‌ی views هم که با درجه‎ی اهمیت حیاتی و شناسه‌ی CVE-۲۰۱۷-۶۹۲۳ در به‌روزرسانی جدید وصله شده است؛ هرچند به هسته ی دروپال ۷ صدمه ای وارد نکرده است، امّا قادر بود تا مؤلفه‌ی views دروپال ۷ در معرض آسیب قرار دهد.

منبع :

www.news.asis.io

مطالب مرتبط

نظر خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *