0
NopSec
Drupal har utfärdat en uppdatering som åtgärdar ett antal kritiska brister i webbplatsen plattform kärna motor.
På torsdag, Drupal, ett open-source content management system (CMS) som används av tusentals för att hantera den bakre änden av sina webbplatser, släppt den senaste version av fast programvara, Drupal 8.3.7, för att bekämpa ett antal sårbarheter som kan lämna användare som utsätts för attack.
Enligt Drupal-säkerhetsmeddelande, flera sårbarheter har upptäckts i CMS-plattform, som anses vara kritiska.
De mest allvarlig säkerhetsbrist, CVE-2017-6925, är en tillgång bypass bugg i Drupal 8 Core engine ‘ s enhet tillgång system utan en Universell Unik Identifierare (UUID) som skulle göra det möjligt för angripare att variera fritt i systemet. Drupal säger som bör sårbarheten utnyttjas, angripare kan visa, skapa, uppdatera eller ta bort enheter.
En annan allvarlig fråga, CVE-2017-6923, är en annan tillgång bypass sårbarhet. Problemet uppstår när du skapar en view i Drupal, kan du välja att använda Ajax för att uppdatera display data via filter parametrar.
Dock anser delsystem mobil inte begränsa tillgången till Ajax ändpunkt kan bara åsikter som är konfigurerad för att använda Ajax.
Denna vecka, CMS-plattformar också utfärdat en separat säkerhetsmeddelande för Drupal version 7.
Enligt meddelandet, version 7.x – 3.17 är också utsatta för samma Ajax frågan, men ingen CVE har ännu inte utfärdats. Användare av denna utbyggnad har också blivit ombedd att installera säkerhetsuppdateringen för views-modulen.
Den sista felet nu lagas i den nya Drupal-utgåvan är CVE-2017-6924, återigen, en tillgång bypass sårbarhet. Detta fel kan utnyttjas via REST API för att tillåta användare utan rätt nivå av tillstånd att publicera kommentarer som ska godkännas automatiskt.
Men detta endast påverkar Drupal bygger med RESTful Web Services (vila) modul aktiverad, och där en angripare kan få tillgång till ett användarkonto på webbplatsen med behörigheter för att posta kommentarer, eller där anonyma användare får skriva kommentarer.
Drupal version 8, innan Drupal 8.3.7 är utsatta för dessa frågor.
Det finns inga nya funktioner i den senaste versionen av Drupal, men webmasters uppmanas att uppdatera sina paket för att utnyttja av den senaste omgången av korrigeringar.
Se även: Drupal fläckar 10 säkerhetsbrister, kritiska problem
I juli, Drupal bad användare för att lappa en fjärrkörning av kod fel som tillät angripare att fullkomligt ta över en hemsida med hjälp av specialskrivna önskemål, köra godtycklig kod, och eventuellt kapa servrar.
0