Összefoglaló
A Drupal három sérülékenysége vált ismerté, melyeket kihasználva a közbeékelődött támadó többek között kódot futtathat, és hozzáférhet a rendszer adatbázishoz.
Leírás
A sérülékenységet a Drupal frissítések hibás feldolgozása okozza. A tartalomkezelő frissítései titkosítatlan csatornán érkeznek, és a rendszer nem ellenőrzi a hitelességüket sem.
A sérülékenység sikeres kihasználásához a támadónak ugyanazon a hálózatra kell kapcsolódnia, és MitM helyzetben kell lennie.
Felfedezésre kerül továbbá két sérülékenység, melyek közül az egyik kihasználásával CSRF támadás hajtható végre.
Megoldás
IsmeretlenMegoldás
A tartalmkezelő naprakészen tartása érdekében mauálisan töltse le a Drupal sérülékenységeket.
Támadás típusa
Cross-Site Request Forgery (CSRF)Deny of service (Szolgáltatás megtagadás)
Information disclosure (Információ/adat szivárgás)
execute code
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: threatpost.com
Egyéb referencia: blog.ioactive.com