Drupal tartalomkezelő többszörös sérülékenysége
Angol cím: Multiple vulnerabilities in Drupal
CH azonosító: CH-15084
Publikálás dátuma: 2020.11.26.
Utolsó módosítás dátuma: 2020.11.26.
Leírás
A CVE-2020-28948 és a CVE-2020-28949 számokon a Drupal tartalomkezelő rendszert érintő sérülékenységek váltak ismertté. A sérülékenységek sikeres kihasználásával a támadó távoli kódfuttatási jogosultságot szerezhet, felülírhat fájlokat, illetve akár a teljes érintett rendszert is kompromittálhatja. A gyártó közleménye szerint a sérülékenységek kritikus kockázati besorolásúak.
Leírás forrása: Gyártói referencia: www.drupal.org Leírás utolsó módosítása: 2020.11.26.Elemzés leírás
A Drupal PHP-ben írt, nyílt forráskódú tartalomkezelő- és fejlesztői keretrendszer. A sérülékenységek hátterében a felhasználói által bevitt adatok nem megfelelő ellenőrzése áll. Sikeres kihasználás esetén a távoli, jogosultsággal nem rendelkező támadó kódfuttatási jogosultságot szerezhet, felülírhat fájlokat, illetve akár a teljes érintett rendszert is kompromittálhatja.
A gyártó szerint a frissítésék telepítéséig javasolt, hogy a .tar, .tar.gz, .bz2 és .tlz fájlok feltöltését csak megbízható felhasználók számára engedélyezzék.
Érintett verziók:
- Drupal 7.x – 7.75 előtti verziók
- Drupal 8.8.x – 8.8.12 előtti verziók
- Drupal 8.9.x – 8.9.10 előtti verziók
- Drupal 9.0.x – 9.0.9 előtti verziók
Hibajavítás:
Elemzés leírás forrása: Gyártói referencia: www.drupal.org Elemzés leírás utolsó módosítása: 2020.11.26.Hatás
Hivatkozások
Gyártói referencia: www.drupal.org
Egyéb referencia: www.cybersecurity-help.cz
CVE-2020-28948 - NVD CVE-2020-28948
CVE-2020-28949 - NVD CVE-2020-28949
