-
06/07/2013
-
796
-
1.304 bài viết
Cập nhật ngay! Drupal vá nhiều lỗ hổng nghiêm trọng!
Gần đây, đội ngũ phát triển Drupal đã thông báo về việc phát hành các bản cập nhật vá một số lỗ hổng trong hệ thống quản lý nội dung nguồn mở này (CMS).
Drupal đã phát hành khuyến nghị mô tả 4 lỗ hổng. Một trong số đó đã được đánh giá là “nghiêm trọng” và 3 lỗi còn lại là “trung bình”. Drupal sử dụng Hệ thống chấm điểm lạm dụng phổ biến NIST để xếp hạng các lỗ hổng - thay vì CVSS - với các lỗ hổng được đánh giá là “ít nghiêm trọng”, “trung bình”, “nghiêm trọng” và “rất nghiêm trọng”.
Lỗ hổng "nghiêm trọng" có mã CVE-2022-25277, ảnh hưởng đến Drupal 9.3 và 9.4. Lỗ hổng ảnh hưởng đến core Drupal và nó có thể dẫn đến việc thực thi mã PHP tùy ý trên các máy chủ web Apache bằng cách tải lên các tệp tin độc hại.
Đội phát triển Drupal đã chỉ ra rằng chỉ các máy chủ web Apache với các cấu hình cụ thể bị ảnh hưởng. Họ khuyến cáo các quản trị viên kiểm tra máy chủ để tìm các dấu hiệu xâm phạm có thể xảy ra.
3 lỗ hổng “trung bình” cũng ảnh hưởng đến core Drupal. Việc khai thác chúng có thể dẫn đến các cuộc tấn công XSS (cross-site scripting), information disclosure, hoặc access bypass.
Bản vá cho các lỗ hổng này được cập nhật trong Drupal 9.4.3 và 9.3.19. Lỗ hổng information disclosure cũng ảnh hưởng đến Drupal 7 và bản vá đã được đưa vào phiên bản 7.91.
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã khuyến cáo người dùng Drupal nên xem lại các lời khuyên và cài đặt các bản cập nhật.
Mặc dù các trang web dùng Drupal ít được sự quan tâm của những kẻ tấn công như các trang web dùng WordPress, tuy nhiên một số lỗ hổng được tìm thấy trong CMS này trong những năm qua đã bị những kẻ tấn công khai thác, bao gồm cả các chiến dịch spam và hack các trang web để phát tán phần mềm độc hại.
Drupal đã phát hành khuyến nghị mô tả 4 lỗ hổng. Một trong số đó đã được đánh giá là “nghiêm trọng” và 3 lỗi còn lại là “trung bình”. Drupal sử dụng Hệ thống chấm điểm lạm dụng phổ biến NIST để xếp hạng các lỗ hổng - thay vì CVSS - với các lỗ hổng được đánh giá là “ít nghiêm trọng”, “trung bình”, “nghiêm trọng” và “rất nghiêm trọng”.
Lỗ hổng "nghiêm trọng" có mã CVE-2022-25277, ảnh hưởng đến Drupal 9.3 và 9.4. Lỗ hổng ảnh hưởng đến core Drupal và nó có thể dẫn đến việc thực thi mã PHP tùy ý trên các máy chủ web Apache bằng cách tải lên các tệp tin độc hại.
Đội phát triển Drupal đã chỉ ra rằng chỉ các máy chủ web Apache với các cấu hình cụ thể bị ảnh hưởng. Họ khuyến cáo các quản trị viên kiểm tra máy chủ để tìm các dấu hiệu xâm phạm có thể xảy ra.
3 lỗ hổng “trung bình” cũng ảnh hưởng đến core Drupal. Việc khai thác chúng có thể dẫn đến các cuộc tấn công XSS (cross-site scripting), information disclosure, hoặc access bypass.
Bản vá cho các lỗ hổng này được cập nhật trong Drupal 9.4.3 và 9.3.19. Lỗ hổng information disclosure cũng ảnh hưởng đến Drupal 7 và bản vá đã được đưa vào phiên bản 7.91.
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã khuyến cáo người dùng Drupal nên xem lại các lời khuyên và cài đặt các bản cập nhật.
Mặc dù các trang web dùng Drupal ít được sự quan tâm của những kẻ tấn công như các trang web dùng WordPress, tuy nhiên một số lỗ hổng được tìm thấy trong CMS này trong những năm qua đã bị những kẻ tấn công khai thác, bao gồm cả các chiến dịch spam và hack các trang web để phát tán phần mềm độc hại.
Nguồn: Securityweek
Chỉnh sửa lần cuối bởi người điều hành: