سیستم محبوب مدیریت محتوای #دروپال، بهروزرسانیهای امنیتی را برای رفع چند آسیبپذیری بسیار مهم منتشر کرد که میتوانند به مهاجم اجازه دهد تا امنیت صدها هزار وبسایت را بهخطر بیندارند.
با توجه به گزارشی که توسط توسعهدهندگان دروپال منتشر شد، تمام آسیبپذیریهای امنیتی دروپال در ماه جاری در کتابخانههای شخص ثالث و در دروپال نسخهی 8.6، 8.5 و یا قدیمیتر و نسخهی ۷ قرار دارند.
یکی از این نقصهای امنیتی، یک نقص XSS است که در یک افزونهی شخص ثالث به نام JQuery قرار دارد. این افزونه که محبوبترین کتابخانهی جاوا اسکریپت است و توسط میلیونها وبسایت استفاده میشود، در هستهی دروپال بهعنوان پیشفرض قرار دارد.
JQuery نسخهی 3.4.0 را منتشر کرد تا آسیبپذیری گزارششده را که هنوز شمارهی CVE به آن اختصاص نیافته است و بر تمامی نسخههای قبلی این کتابخانه تأثیر میگذارد، وصله کند.
jQuery 3.4.0 شامل اصلاحاتی برای رفع برخی رفتارهای ناخواسته هنگام استفاده از "jQuery.extend(true,{},…)" است. اگر یک شیء منبع، حاوی یک "proto___property__" باشد، میتواند "Object.prototype" اصلی را گسترش دهد.
ممکن است این آسیبپذیری با برخی از ماژولهای دروپال قابل بهرهبرداری باشد.
سه آسیبپذیری امنیتی دیگر، در مؤلفههای PHP Symfony که توسط دروپال هسته استفاده میشوند، قرار دارند. این نقصها عبارتند از:
• نقص اجرای کد دلخواه با شناسهی "CVE-2019-10910"
• حملات دورزدن احراز هویت با شناسهی "CVE-2019-10911"
• نقص تزریق اسکریپت مخرب (XSS) با شناسهی "CVE-2019-10909"
باتوجه به محبوبیت سوءاستفاده از دروپال در میان هکرها، به شدت توصیه میشود که آخرین بهروزرسانی این سیستم مدیریت محتوا در اسرع وقت نصب شوند.
کاربرانی که از دروپال 8.6 استفاده میکنند، باید آنرا به دروپال 8.6.15 بهروزرسانی کنند. کاربرانی که از دروپال 8.5 یا قبل از آن استفاده میکنند، به دروپال 8.5.15 بهروزرسانی کنند و کاربرانی که از دروپال 7 استفاده میکنند، به دروپال 7.6.6 بهروزرسانی کنند.
- 7