В Drupal 7 и 8 исправлены критические уязвимости
Команда разработчиков системы управления контентом Drupal исправила две критические уязвимости в платформе, позволявшие удаленно выполнить произвольный код и перехватить управление уязвимой системой. Проблемы затрагивают версии Drupal 7 и 8.
Одна из уязвимостей связана с функцией DefaultMailSystem::mail()в Drupal 7 и 8. Согласно сообщению разработчиков, при оправке писем с помощью дефолтной почтовой системы не проводится проверка аргументов файлов и входных данных, что создает возможность для удаленного выполнения кода.
Вторая уязвимость содержится в модуле Contextual Links в Drupal 8, позволяющем привилегированным пользователям быстро выполнять задачи, связанные с различными областями страницы без необходимости использования панели администратора. Проблема заключается в некорректной проверке запрашиваемых контекстных ссылок благодаря чему атакующий может внедрить в ссылки вредоносный код и запустить его. Для успешной атаки злоумышленнику потребуются права для доступа к контекстным ссылкам.
Помимо вышеуказанных, разработчики также устранили три «сравнительно опасные» уязвимости, с помощью которых злоумышленник может обойти доступ к модерируемому контенту или осуществить переадресацию пользователей на вредоносный сайт или сторонний ресурс.
Уязвимости исправлены в версиях Drupal 7.60, 8.6.2 и 8.5.8.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш
