به‌روزرسانی امنيتی دروپال برای رفع چند آسيب‌پذيری مهم

به‌روزرسانی امنيتی دروپال برای رفع چند آسيب‌پذيری مهم

تاریخ ایجاد

سیستم محبوب مدیریت محتوای #‫دروپال، به‌روزرسانی‌های امنیتی را برای رفع چند آسیب‌پذیری بسیار مهم منتشر کرد که می‌توانند به مهاجم اجازه دهد تا امنیت صدها هزار وب‌سایت را به‌خطر بیندارند.
با توجه به گزارشی که توسط توسعه‌دهندگان دروپال منتشر شد، تمام آسیب‌پذیری‌های امنیتی دروپال در ماه جاری در کتابخانه‌های شخص ثالث و در دروپال نسخه‌ی 8.6، 8.5 و یا قدیمی‌تر و نسخه‌ی ۷ قرار دارند.
یکی از این نقص‌های امنیتی، یک نقص XSS است که در یک افزونه‌ی شخص ثالث به نام JQuery قرار دارد. این افزونه که محبوب‌ترین کتابخانه‌ی جاوا اسکریپت است و توسط میلیون‌ها وب‌سایت استفاده می‌شود، در هسته‌ی دروپال به‌عنوان پیش‌فرض قرار دارد.
JQuery نسخه‌ی 3.4.0 را منتشر کرد تا آسیب‌پذیری گزارش‌شده را که هنوز شماره‌ی CVE به آن اختصاص نیافته است و بر تمامی نسخه‌های قبلی این کتابخانه تأثیر می‌گذارد، وصله کند.
jQuery 3.4.0 شامل اصلاحاتی برای رفع برخی رفتارهای ناخواسته هنگام استفاده از "jQuery.extend(true,{},…)" است. اگر یک شیء منبع، حاوی یک "proto___property__" باشد، می‌تواند "Object.prototype" اصلی را گسترش دهد.
ممکن است این آسیب‌پذیری با برخی از ماژول‌های دروپال قابل بهره‌برداری باشد.
سه آسیب‌پذیری امنیتی دیگر، در مؤلفه‌های PHP Symfony که توسط دروپال هسته استفاده می‌شوند، قرار دارند. این نقص‌ها عبارتند از:
• نقص اجرای کد دلخواه با شناسه‌ی "CVE-2019-10910"
• حملات دورزدن احراز هویت با شناسه‌ی "CVE-2019-10911"
• نقص تزریق اسکریپت مخرب (XSS) با شناسه‌ی "CVE-2019-10909"
باتوجه به محبوبیت سوءاستفاده از دروپال در میان هکرها، به شدت توصیه می‌شود که آخرین به‌روزرسانی این سیستم مدیریت محتوا در اسرع وقت نصب شوند.
کاربرانی که از دروپال 8.6 استفاده می‌کنند، باید آن‌را به دروپال 8.6.15 به‌روزرسانی کنند. کاربرانی که از دروپال 8.5 یا قبل از آن استفاده می‌کنند، به دروپال 8.5.15 به‌روزرسانی کنند و کاربرانی که از دروپال 7 استفاده می‌کنند، به دروپال 7.6.6 به‌روزرسانی کنند.

برچسب‌ها