آسیب پذیری rce در دروپال

کشف آسیب‌پذیری حیاتی از نوع RCE در سامانه مدیریت محتوای دروپال

توسعه‌دهندگان سیستم مدیریت محتوای دروپال آخرین نسخه نرم‌افزار خود را به منظور وصله نمودن یک آسیب‌پذیری حیاتی منتشر نمودند. این آسیب‌پذیری امکان هک از راه دور سایت را برای مهاجمان فراهم می‌نماید.

با توجه به اظهارات تیم امنیتی دروپال، آسیب‌پذیری مورد نظر (با شناسه CVE-2019-6340) یک نقص مهم در هسته دروپال است که اجرای کد از راه‌دور (RCE) را موجب شده و در برخی موارد می‌تواند منجر به اجرای کد دلخواه PHP شود.

این نقص در واقع به دلیل عملکرد نامناسب داده برای نوع داده‌ی فیلدها از منابع غیررسمی می‌باشد، که هسته‌های دروپال ۷ و ۸ را تحت تأثیر قرار داده است.

با توجه به محبوبیت دروپال در میان هکرها و علاقه به سوءاستفاده از آسیب‌پذیری‌های آن، اکیداً توصیه می‌گردد که آخرین نسخه به‌روزرسانی را نصب نمایید:

  • اگر از نسخه ۸.۶.x دروپال استفاده می‌کنید، وب‌سایت خود را به دروپال نسخه ۸.۶.۱۰ ارتقاء دهید.
  • اگر از نسخه ۸.۵.x دروپال یا نسخه‌های قبل از آن استفاده می‌کنید، وب‌سایت خود را به دروپال نسخه ۸.۵.۱۱ ارتقاء دهید.

منبع

نوشتن دیدگاه

آدرس ایمیل شما منتشر نخواهد شد.