Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Эксплуатация уязвимости возможна при включенной веб-службе RESTful Web Services, Services 3.x или JSON:API.
Разработчики Drupal сообщили об опасной уязвимости ядра, затрагивающей 7-ю и 8-ю версии CMS. Брешь дает возможность злоумышленнику удаленно выполнить любой PHP-код и перехватить управление сайтом. Создатели CMS оценили баг как в высшей степени критичный и призвали веб-администраторов как можно скорее установить обновления системы.
Проблема связана с неправильной обработкой данных, передаваемых на сайт посредством запросов PUT, PATCH или POST. Встроенные модули Drupal или расширения сторонних авторов могут неверно интерпретировать содержащиеся в них сведения, что дает злоумышленнику возможность передать на сервер свои команды. Как отмечают разработчики, баг найден в компоненте движка RESTful Web Services, подсистеме Services 3.x и программном интерфейсе JSON:API.
Уязвимость CVE-2019-6340 присутствует во всех версиях Drupal 8 до релиза 8.5.11 или 8.6.10. Ядро CMS версии 7 не затронуто проблемой, однако веб-администраторам рекомендуется проверить сторонние модули, установленные на их сайтах, на предмет работы с движком Services 3.x, интегрированным в ядро системы
Разработчики выпустили обновления для Drupal линеек 8.5.x и 8.6.x. Более ранние ветки Drupal 8 уже не поддерживаются, создание патчей для них не планируется. Для снижения вероятности атаки владельцам уязвимых сайтов рекомендуется отключить все модули для работы с веб-сервисами или запретить использование на веб-ресурсе запросов формата PUT, PATCH и POST.
Чуть более месяца назад в Drupal залатали две критические уязвимости, связанные с появлением в CMS функции обработки исполняемых PHP-архивов. В одном случае проблема была найдена во встроенном интерпретаторе объектов вида .phar, а другую ошибку обнаружили в сторонней библиотеке PEAR Archive_Tar. При определенных условиях баги можно было использовать для удаленного выполнения в системе вредоносного кода и несанкционированных операций с файлами.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |