Összefoglaló
A Drupal tartalomkezelő harmadik féltől származó kiegészítőinek kritikus sérülékenységei váltak ismertté, melyeket kihasználva a támadó tetszőleges kódot futtathat a célrendszeren. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártóktól.
Leírás
- A RESTWS modul hibáját kihasználva a támadó speciálisan megszerkesztett kérések segítségével tetszőleges PHP kódot futtathat a célrendszeren.
- A Coder modul nem megfelelően ellenőrzi a felhasználó által beküldött script fájlokat, ezt kihasználva a támadó egy speciálisan elkészített kéréssel tetszőleges PHP kódot futtathat a célrendszeren.
- A Webform Multiple File Upload hibáját egy speciálisan elkészített formmal kihasználva tetszőleges kód futtatására nyílhat lehetőség a célrendszeren.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Frissítsen az alábbi verziókra:
- RESTful Web Services 7.x-2.6
- Coder 7.x-1.3 vagy Coder 7.x-2.6
- Webform Multiple File Upload 7.x-1.4
Támadás típusa
execute arbitrary codeHatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.drupal.org
Gyártói referencia: www.drupal.org
Gyártói referencia: www.drupal.org
Egyéb referencia: drupal.sh