مرکز تخصصی آپا
سایت دروپالی خود را بهروز کنید! دومین آسیبپذیری حیاتی دروپال در ماه
خلاصه: کارشناسان امنیتی دروپال اعلام نمودهاند که یک آسیپبپذیری حیاتی روی هسته دروپال وجود دارد که میتواند منجر به حمله XSS روی آن شود. این آسیبپذیری که روی افزونه CKEditor که به صورت پیشفرض روی دروپال قرار دارد وجود دارد اجازه اجرای حملات XSS و اجرای کد مخرب روی سیستم کاربران را میدهد. از این رو توصیه شده هرچه زودتر هسته دروپال خود را بهروز نمایید.
برای دومین بار در این ماه یک آسیبپذیری حیاتی روی سیستم مدیریت محتوای محبوب دروپال کشف شده و کارشناسان توصیه نمودهاند که برای جلوگیری از سو استفاده از این آسیبپذیری، کاربرانی که از این سیستم مدیریت محتوا استفاده مینمایند، هسته دروپال خود را به روز نمایند.
این آسیبپذیری که توسط تیم امنیتی دروپال کشف شده است، به مهاجمان از راه دور امکان اجرای حملات پیشرفتهای همچون سرقت کوکی، ضبط کلیدهای فشرده شده، فیشینگ و سرقت هویت را انجام دهند.
هسته دروپال نسبت به یک حمله XSS آسیبپذیر است. این آسیبپذیری در افزونه پیشفرض CKEditor قرار دارد. این پلاگین که به صورت پیشفرض روی دروپال نصب است به مدیران و کاربران وبسایت برای ایجاد محتوای تعاملی کمک مینماید. این ویرایشگر محبوب مبتنی بر جاوا اسکریپت در بسیاری از سایتها مورد استفاده قرار میگیرد.
بر اساس توصیه امنیتی که سایت این افزونه منتشر نموده است بیان شده که آسیبپذیری XSS در اعتبارسنجی نامناسب برچسب img در نسخههای 4.5.11 به بعد این افزونه وجود دارد. این مساله موجب میشود مهاجم با اجرای کد Html و جاوا اسکریپت مخرب روی مرورگر قربانی، به اطلاعات حساس کاربر دسترسی یابد.
این آسیبپذیری CKEditor با انتشار نسخه 4.9.2 وصله شده است. همچنین با بهروزرسانی هسته دروپال به نسخههای 8.5.2 و 8.4.7 این آسیبپذیری برطرف میشود.
البته از آنجایی که افزونه CKeditor در نسخه 7.x برای استفاده در سرورهای CDN طراحی شدهاند، تحت تاثیر این آسیبپذیری قرار نمیگیرند.
دروپال در ماه گذشته یک آسیبپذیری حیاتی دیگر را نیز وصله نمود که نسخههای دروپال 6 تا 8 را تحت تاثیر قرار میداد که برای استخراج رمزارز توسط سیستم کاربران مورد استفاده قرار گرفت.
اگر در ماه گذشته سیستم مدیریت محتوای دروپال خود را بهروزرسانی ننمودهاید، حتما این کار را هرچه زودتر انجام دهید تا از خطر لااقل دو آسیبپذیری حیاتی در امان باشید.
