دروپال دو آسیبپذیری را در نسخههای 9.2 و 9.3 اعلام کرد که میتواند به مهاجم اجازه آپلود فایلهای مخرب و کنترل یک سایت را بدهد. سطوح تهدید این دو آسیبپذیری بهعنوان «متوسط بحرانی» رتبهبندی میشوند.
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) هشدار داد که این سوء استفاده ها می تواند منجر به کنترل یک وب سایت آسیب پذیر مبتنی بر دروپال توسط مهاجم شود.
CISA اعلام کرد:
دروپال بهروزرسانیهای امنیتی را برای رفع آسیبپذیریهای دروپال 9.2 و 9.3 منتشر کرده است.
یک مهاجم میتواند از این آسیبپذیریها برای به دست گرفتن کنترل سیستم آسیبدیده سوء استفاده کند.»
دروپال
دروپال یک سیستم مدیریت محتوای متن باز محبوب است که به زبان برنامه نویسی PHP نوشته شده است.
بسیاری از سازمان های بزرگ مانند موسسه اسمیتسونیان، گروه موسیقی جهانی، فایزر، جانسون و جانسون، دانشگاه پرینستون و دانشگاه کلمبیا از دروپال برای وب سایت های خود استفاده می کنند.
Form API – اعتبار سنجی ورودی نادرست
اولین آسیب پذیری API فرم دروپال را تحت تأثیر قرار می دهد. این آسیبپذیری یک اعتبارسنجی ورودی نامناسب است، به این معنی که آنچه از طریق فرم API آپلود میشود در مورد مجاز بودن یا نبودن آن تأیید نمیشود.
اعتبارسنجی آنچه آپلود شده یا در یک فرم وارد می شود بهترین روش رایج است. به طور کلی، اعتبار سنجی ورودی با رویکرد Allow List انجام می شود که در آن فرم انتظار ورودی های خاصی را دارد و هر چیزی را که با ورودی یا آپلود مورد انتظار مطابقت ندارد رد می کند.
وقتی فرمی نتواند یک ورودی را تأیید کند، وبسایت را برای آپلود فایلهایی باز میگذارد که میتوانند رفتار ناخواسته را در برنامه وب ایجاد کنند.
اعلامیه دروپال این مسئله خاص را توضیح داد:
API فرم هسته دروپال دارای آسیبپذیری است که در آن فرمهای ماژولهای سفارشی یا کمکشده خاص ممکن است در برابر اعتبارسنجی ورودی نامناسب آسیبپذیر باشند. این می تواند به مهاجم اجازه دهد مقادیر غیر مجاز را تزریق کند یا داده ها را بازنویسی کند. فرمهای تحت تأثیر غیرمعمول هستند، اما در موارد خاص، مهاجم میتواند دادههای مهم یا حساس را تغییر دهد.»
Drupal Core – Access Bypass
دور زدن دسترسی نوعی آسیبپذیری است که در آن ممکن است راهی برای دسترسی به بخشی از سایت از طریق مسیری وجود داشته باشد که بررسی کنترل دسترسی را ندارد، در نتیجه در برخی موارد کاربر میتواند به سطوحی که ندارد دسترسی پیدا کند. مجوز برای.
اعلامیه دروپال این آسیبپذیری را شرح میدهد:
«دروپال 9.3 یک API دسترسی موجودیت عمومی را برای بازبینی موجودیت پیادهسازی کرد. با این حال، این API به طور کامل با مجوزهای موجود ادغام نشده است، که منجر به برخی از دور زدن دسترسی احتمالی برای کاربرانی شد که به طور کلی به استفاده از بازبینیهای محتوا دسترسی دارند، اما به موارد جداگانه گره و محتوای رسانه دسترسی ندارند.
ناشران تشویق میشوند تا توصیههای امنیتی را مرور کنند و بهروزرسانیها را اعمال کنند
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) و دروپال ناشران را تشویق می کنند تا توصیه های امنیتی را بررسی کرده و به آخرین نسخه ها به روز کنند.
استناد
بولتن رسمی آسیب پذیری CISA Drupal را بخوانید
دروپال بهروزرسانیهای امنیتی را منتشر میکند
دو اعلامیه امنیتی دروپال را بخوانید
هسته دروپال – نسبتاً بحرانی – اعتبار سنجی ورودی نامناسب – SA-CORE-2022-008
هسته دروپال – نسبتاً بحرانی – بای پس دسترسی – SA-CORE-2022-009