Drupal vá lỗ hổng thực thi mã từ xa

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi DDos, 20/11/20, 10:11 AM.

  1. DDos

    DDos Administrators Thành viên BQT

    Tham gia: 22/10/13, 08:10 PM
    Bài viết: 1,813
    Đã được thích: 439
    Điểm thành tích:
    83
    Phiên bản Drupal 9.0, 8.9, 8.8 và 7 bị ảnh hưởng bởi lỗ hổng nghiêm trọng CVE-2020-13671. Nhà phát triển khuyến cáo người dùng cập nhật lên phiên bản 9.0.8, 8.9.9, 8.8.11 và 7.74.
    drupal-image.jpg
    Cụ thể, đây là một lỗi thực thi mã từ xa do Drupal không có cơ chế lọc phù hợp trong tên của tệp tải lên trang web. Điều này dẫn đến, tệp tải lên có thể được thực thi như một file PHP. Hacker có thể khai thác lỗ hổng này để chiếm quyền kiểm soát trang web mục tiêu.

    Drupal sử dụng hệ thống NIST Common Misuse Scoring System để đánh giá mức độ rủi ro và nghiêm trọng của lỗ hổng. Với mức cao nhất trong hệ thống đánh giá là cực kỳ nghiêm trọng (highly critical) thì lỗ hổng CVE-2020-13671 được vá lần này xếp ở mức độ thấp hơn (critical).

    Drupal khuyến cáo người dùng kiểm tra máy chủ để tìm các file có phần mở rộng độc hại tiềm ẩn, ví dụ như filename.php.txt hoặc filename.html.gif. Quản trị viên trang web nên đề phòng các tệp có phần mở rộng như phar, php, pl, py, cgi, html, htm, phtml, js và asp.

    Đây là đợt cập nhật an ninh thứ năm được các nhà phát triển Drupal phát hành trong năm nay. Vào tháng 3, Drupal đã cập nhật CKEditor để vá các lỗ hổng XSS. Tiếp đến tháng 5 là các lỗ hổng XSS và chuyển hướng mở. Vào tháng 6, Drupal sửa lỗi thực thi mã và một số vấn đề bảo mật khác. Tháng 9 vừa qua, hãng khắc phục các lỗ hổng XSS và tiết lộ thông tin.

     
    Last edited by a moderator: 20/11/20, 11:11 AM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan