В Drupal 7 и 8 исправлены критические уязвимости
23 октября 2018
Рубрика: Интернет и сети.
Автор: .

Команда разработчиков системы управления контентом Drupal исправила две критические уязвимости в платформе, позволявшие удаленно выполнить произвольный код и перехватить управление уязвимой системой. Проблемы затрагивают версии Drupal 7 и 8.

Одна из уязвимостей связана с функцией DefaultMailSystem::mail()в Drupal 7 и 8. Согласно сообщению разработчиков, при оправке писем с помощью дефолтной почтовой системы не проводится проверка аргументов файлов и входных данных, что создает возможность для удаленного выполнения кода.

Вторая уязвимость содержится в модуле Contextual Links в Drupal 8, позволяющем привилегированным пользователям быстро выполнять задачи, связанные с различными областями страницы без необходимости использования панели администратора. Проблема заключается в некорректной проверке запрашиваемых контекстных ссылок благодаря чему атакующий может внедрить в ссылки вредоносный код и запустить его. Для успешной атаки злоумышленнику потребуются права для доступа к контекстным ссылкам.

Помимо вышеуказанных, разработчики также устранили три «сравнительно опасные» уязвимости, с помощью которых злоумышленник может обойти доступ к модерируемому контенту или осуществить переадресацию пользователей на вредоносный сайт или сторонний ресурс.

Уязвимости исправлены в версиях Drupal 7.60, 8.6.2 и 8.5.8.

Источник

Orphus system
Подписывайтесь на канал infoCOM.UZ в Telegram, чтобы первыми узнавать об ИКТ новостях Узбекистана
В Telegram
В WhatsApp
В Одноклассники
ВКонтакте