Опубликован эксплоит для критической уязвимости в Drupal
На портале GitHub опубликован РоС-эксплоит для критической уязвимости в системе управления контентом Drupal.
Ранее команда безопасности Drupal раскрыла серьезную уязвимость CVE-2018-7600, получившую название Drupalgeddon 2. Данная уязвимость позволяла неавторизованному злоумышленнику удаленно выполнить код.
До сих пор подробности об уязвимости не были доступны для общественности. Как пояснили исследователи из Check Point Research, проблема заключается в недостаточной проверке входных AJAX запросов к Form API (FAPI). В результате система позволяет злоумышленнику потенциально внедрить вредоносную полезную нагрузку во внутреннюю структуру Drupal. Таким образом можно заставить Drupal выполнить вредоносный код без аутентификации пользователя. Проэксплуатировав данную уязвимость, злоумышленник может получить полный контроль над любым сайтом под управлением Drupal.
Уязвимость существует во всех версиях Drupal с 6 до 8.
Drupal представляет собой систему управления контентом с открытым исходным кодом (CMS), которая используется более чем одним миллионом сайтов по всему миру (включая правительства, интернет-магазины, корпоративные организации, финансовые учреждения и пр.).
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш