Drupal vá lỗ hổng thực thi mã từ xa

[DDos]

Phiên bản Drupal 9.0, 8.9, 8.8 và 7 bị ảnh hưởng bởi lỗ hổng nghiêm trọng CVE-2020-13671. Nhà phát triển khuyến cáo người dùng cập nhật lên phiên bản 9.0.8, 8.9.9, 8.8.11 và 7.74.

Cụ thể, đây là một lỗi thực thi mã từ xa do Drupal không có cơ chế lọc phù hợp trong tên của tệp tải lên trang web. Điều này dẫn đến, tệp tải lên có thể được thực thi như một file PHP. Hacker có thể khai thác lỗ hổng này để chiếm quyền kiểm soát trang web mục tiêu.

Drupal sử dụng hệ thống NIST Common Misuse Scoring System để đánh giá mức độ rủi ro và nghiêm trọng của lỗ hổng. Với mức cao nhất trong hệ thống đánh giá là cực kỳ nghiêm trọng (highly critical) thì lỗ hổng CVE-2020-13671 được vá lần này xếp ở mức độ thấp hơn (critical).

Drupal khuyến cáo người dùng kiểm tra máy chủ để tìm các file có phần mở rộng độc hại tiềm ẩn, ví dụ như filename.php.txt hoặc filename.html.gif. Quản trị viên trang web nên đề phòng các tệp có phần mở rộng như phar, php, pl, py, cgi, html, htm, phtml, js và asp.

Đây là đợt cập nhật an ninh thứ năm được các nhà phát triển Drupal phát hành trong năm nay. Vào tháng 3, Drupal đã cập nhật CKEditor để vá các lỗ hổng XSS. Tiếp đến tháng 5 là các lỗ hổng XSS và chuyển hướng mở. Vào tháng 6, Drupal sửa lỗi thực thi mã và một số vấn đề bảo mật khác. Tháng 9 vừa qua, hãng khắc phục các lỗ hổng XSS và tiết lộ thông tin.

Theo: Security Week ​