آزمایشگاه تخصصی آپا دانشگاه فردوسی مشهد::FUM CERT Lab. (Computer Emergency Response Team)

وصله شدن چندین آسیب‌پذیری بحرانی در 2 مؤلفه‌ی Drupal

عنوانوصله شدن چندین آسیب‌پذیری بحرانی در 2 مؤلفه‌ی Drupal
گروه اصلیOther
شرح خبر

چندین آسیب‌پذیری بحرانی در لایه‌ی میان‌افزار Drupal یا به عبارتی مؤلفه‌های شخص ثالث این سامانه‌ی مدیریت محتوا وصله شده است. این آسیب‌پذیری‌ها از نوع Cross-site Scripting و CSRF می‌باشند که از راه دور قابل بهره‌برداری هستند.

آسیب‌پذیری‌ها در مؤلفه‌ی OSF کشف شده‌اند که یک پروژه‌ی شخص ثالث است و بخشی از هسته‌‌ی Drupal نمی‌باشد. چارچوب OSF به منظور نمایش داده‌های ساختاریافته با هدف ایجاد ابزارهای مدیریت دانش به کار می‌رود. در توصیه‌نامه‌ی Drupal سه آسیب‌پذیری مجزا برای این چارچوب عنوان شده است. 

این مؤلفه از آن‌جایی که به درستی داده‌های ورودی کاربر را در برخی صفحات مدیریتی بررسی نمی‌کند، در مقابل حملات تزریق اسکریپت آسیب‌پذیر است. مهاجم می‌تواند با سوء‌استفاده از این آسیب‌پذیری کاربران را به صفحات جعلی دیگر هدایت کند، البته فقط وب‌گاه‌هایی که مؤلفه‌ی OSF را فعال کرده باشند، آسیب‌پذیر هستند. 

علاوه بر این آسیب‌پذیری، مؤلفه‌ی OSF در مقابل حملات CSRF نیز آسیب‌پذیر است و ممکن است مهاجم موفق به حذف برخی پرونده‌های مربوط به وب‌گاه شود. در این نوع حمله مهاجم می‌تواند مدیر وب‌گاه را در شرایطی قرار دهد که با ایجاد یک درخواست به آدرس جعلی، در نهایت یک درخواست حذف پرونده را اجرا نماید. آسیب‌پذیری‌های مورد بحث در نسخه‌ی x-3.1.7 مؤلفه‌ی OSF وصله شده است. 

همچنین، آسیب‌پذیری XSS دیگری در مؤلفه‌ی Time Tracker نرم‌افزار Drupal کشف شده است، این مؤلفه به منظور ردگیری زمان نظرات و سایر جزییات در وب‌گاه‌های Drupal به کار می‌رود. آسیب‌پذیری مذکور در نسخه‌ی x-1.4.7 مؤلفه‌ی Time Tracker وصله شده است.

توصیه می‌شود در صورتی که از این مؤلفه‌ها در وب‌گاه‌های Drupal خود استفاده می‌کنید، به سرعت نسخه‌های وصله شده را دریافت کرده و جایگزین نسخه‌های آسیب‌پذیر نمایید.

آدرس اینترنتی خبرhttp://goo.gl/aGGjWN
تاریخ درج خبر1394-05-02
صفحه اصلی | تماس با ما | معرفی آزمایشگاه | ورود
©2017 Ferdowsi University Of Mashhad
مرکز آپا | آپا | آپا چیست