0
NopSec
Drupal heeft een beveiligingsupdate die lost een aantal kritieke fouten in de website van het platform voor het beheer van de core engine.
Op donderdag, Drupal, een open-source content management systeem (CMS) gebruikt door duizenden voor het beheren van de back-end van websites, en heeft de nieuwste versie van onze software, Drupal 8.3.7, voor het bestrijden van een aantal zwakke punten die kunnen vertrekken gebruikers blootgesteld aan de aanval.
Volgens Drupal security advisory, meerdere kwetsbaarheden ontdekt in de CMS-platform, waarvan sommige als kritisch wordt beschouwd.
De meest ernstige lek, CVE-2017-6925, is een toegang bypass bug in de Drupal 8 Core engine entiteit toegang tot het systeem zonder een Universele Unieke Identificatie (UUID) die zouden aanvallers bereik vrij in het systeem. Drupal zegt dat moet de kwetsbaarheid worden benut, aanvallers kunnen weergeven, maken, bijwerken of verwijderen van entiteiten.
Een ander ernstig probleem, CVE-2017-6923, is een andere toegang bypass kwetsbaarheid. Het probleem treedt op wanneer een weergave maken in Drupal, kunt u eventueel gebruik maken van Ajax om de update weer te geven gegevens via filter-parameters.
Maar, het uitzicht subsysteem mobile deed het niet beperken van de toegang tot de Ajax-eindpunt alleen uitzicht geconfigureerd voor het gebruik van Ajax.
Deze week, de CMS-platform provider ook uitgegeven in een aparte security advisory voor Drupal versie 7.
Volgens de aankondiging, versie 7.x – 3.17 zijn ook kwetsbaar voor dezelfde Ajax probleem, maar geen CVE heeft uitgegeven. Gebruikers van deze build hebben ook gevraagd om het toepassen van de beveiligingsupdate voor de views module.
De laatste bug nu gepatched in de nieuwe Drupal versie is CVE-2017-6924, nogmaals, een bypass kwetsbaarheid. Deze fout kan worden uitgebuit via de REST-API kunnen gebruikers zonder het juiste niveau van toestemming om commentaar te posten die automatisch worden goedgekeurd.
Echter, dit geldt alleen voor Drupal bouwt met de RESTful Web Services (rest) module ingeschakeld, en waar een aanvaller kan toegang krijgen tot een gebruikersaccount op de site met rechten om commentaar te posten, of wanneer anonieme gebruikers mogen opmerkingen plaatsen.
Drupal versie 8 voorafgaand aan Drupal 8.3.7 zijn gevoelig voor deze problemen.
Er zijn geen nieuwe functies in de nieuwste versie van Drupal, maar webmasters worden aangespoord tot een update van hun bestaande pakketten om te profiteren van de laatste ronde van security oplossingen.
Zie ook: Drupal patches 10 beveiligingsfouten kritieke problemen
In juli, Drupal vroeg gebruikers aan een patch tot uitvoering van externe code lek waardoor aanvallers het volledig overnemen van een website met behulp van speciaal gemaakte verzoeken, willekeurige code kan uitvoeren, en mogelijk kapen servers.
0