باگ منتشر شده با شناسه CVE-۲۰۱۹-۶۳۴۰ ردیابی میشود که یک مهاجم با سوء استفاده از آن میتواند یک وبسایت دروپال را به سرقت ببرد و کنترل وب سرور آن را به دست گیرد. این باگ بدلیل عدم پاکسازی برخی از نوعهای فایلهای دریافت شده از منابع غیر form، مانند وبسرویسهای RESTful بوجود آمده است. این نقص منجر به اجرای کد PHP دلخواه میشود.
تا هنگام نصب بروزرسانی، مدیران وبسایتها میتوانند با غیرفعالسازی ماژولهای وبسرویسها، اثرات این باگ را کاهش دهند. همچنین با غیرفعالسازی درخواستهای PUT/PATCH/POST به منابع وبسرویسها نیز میتوان اثرات این نقص را کاهش داد.
نسخههای ۸,۶.x و ۸.۵.x و پایینتر دروپال نسبت به این نقص آسیبپذیر هستند. نسخههای اصلاح شده ۸.۶.۱۰ و ۸.۵.۱۱ هستند که مدیران وبسایتها باید هرچه سریعتر به این نسخهها بروزرسانی کنند. سایتهایی با هسته دروپال ۸ که ماژول وبسرویس RESTful آنها فعال باشد و درخواستهای PATCH و POST در آنها مجاز باشد تحت تاثیر قرار گرفتهاند. همچنین سایتایی با سایر ماژولهای فعال وبسرویس مانند JSON:API در دروپال ۸ و ماژول Service یا ماژول RESTful Web Service در دروپال ۷ نیز آسیبپذیر هستند.
انتهای پیام/