به گزارش  حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان، دروپال سومین CMS مشهور است که حدود سه درصد از وب‌سایت‌ها از آن استفاده می‌کنند.

باگ منتشر شده با شناسه CVE-۲۰۱۹-۶۳۴۰ ردیابی می‌شود که یک مهاجم با سوء استفاده از آن می‌تواند یک وب‌سایت دروپال را به سرقت ببرد و کنترل وب سرور آن را به دست گیرد. این باگ بدلیل عدم پاکسازی برخی از نوع‌های فایل‌های دریافت شده از منابع غیر form، مانند وب‌سرویس‌های RESTful بوجود آمده است. این نقص منجر به اجرای کد PHP دلخواه می‌شود.

تا هنگام نصب بروزرسانی، مدیران وب‌سایت‌ها می‌توانند با غیرفعال‌سازی ماژول‌های وب‌سرویس‌ها، اثرات این باگ را کاهش دهند. همچنین با غیرفعال‌سازی درخواست‌های PUT/PATCH/POST به منابع وب‌سرویس‌ها نیز می‌توان اثرات این نقص را کاهش داد.

نسخه‌های ۸,۶.x و ۸.۵.x و پایینتر دروپال نسبت به این نقص آسیب‌پذیر هستند. نسخه‌های اصلاح شده ۸.۶.۱۰ و ۸.۵.۱۱ هستند که مدیران وب‌سایت‌ها باید هرچه سریع‌تر به این نسخه‌ها بروزرسانی کنند. سایت‌هایی با هسته دروپال ۸ که ماژول وب‌سرویس RESTful آنها فعال باشد و درخواست‌های PATCH و POST در آنها مجاز باشد تحت تاثیر قرار گرفته‌اند. همچنین سایتایی با سایر ماژول‌های فعال وب‌سرویس مانند JSON:API در دروپال ۸ و ماژول Service یا ماژول RESTful Web Service در دروپال ۷ نیز آسیب‌پذیر هستند.

انتهای پیام/