Drupal vá lỗi thực thi có thể ảnh hưởng tới Windows Servers

Drupal vá lỗi thực thi có thể ảnh hưởng tới Windows Servers

June 22, 2020 | vietsunshine

Các bản cập nhật được phát hành trong tuần này bởi Drupal đã vá một số lỗ hổng, bao gồm một lỗ hổng có thể cho phép kẻ tấn công thực thi mã PHP tùy ý.

Lỗ hổng thực thi mã (CVE-2020-13664), có thể được khai thác đối với các cài đặt Drupal 8 và 9, nhưng chỉ trong một số trường hợp nhất định. Theo các nhà phát triển Drupal, vấn đề rất có thể ảnh hưởng đến các máy chủ Windows.

” Một kẻ tấn công có thể lừa một quản trị viên truy cập vào một trang web độc hại có thể dẫn đến việc tạo một thư mục trên hệ thống tệp. Với thư mục này, kẻ tấn công có thể cố gắng vũ trang một lỗ hổng thực thi mã từ xa,” theo một tư vấn cho lỗ hổng được công bố vào thứ 4 vừa qua.

Lỗ hổng bảo mật được đánh giá là nghiêm trọng, nhưng đáng chú ý là Drupal sử dụng NIST Common Misuse Scoring System, chỉ định điểm số trong khoảng từ 0 đến 25, với chỉ số cao nhất là xếp hạng cao thứ hai, sau “highly critical”.

Một lỗ hổng bảo mật nghiêm trọng khác đã được vá trong tuần này là CVE-2020-13663, ảnh hưởng đến Drupal 7, 8 và 9. Kẻ tấn công có thể khai thác lỗ hổng cho các cuộc tấn công giả mạo yêu cầu chéo (CSRF).

API của lõi Drupal không xử lý đúng cách đầu vào mẫu nhất định từ các yêu cầu giữa các trang web, điều này có thể dẫn đến các lỗ hổng khác, các nhà phát triển của Drupal giải thích.

Cuối cùng, Drupal đã vá một lỗi ít quan trọng hơn – đây là xếp hạng rủi ro thấp thứ hai – lỗ hổng truy cập ảnh hưởng đến các phiên bản 8 và 9.

“Các yêu cầu “JSON:API PATCH có thể bỏ qua xác thực cho một số trường nhất định,” đọc các tư vấn cho vấn đề này tại đây. “Theo mặc định, JSON:API hoạt động ở chế độ chỉ đọc khiến không thể khai thác lỗ hổng. Chỉ các trang web có read_only được đặt thành FALSE trong cấu hình jsonapi.settings là có thể bị tấn công”.

Nguồn: Drupal Patches Code Execution Flaw Most Likely to Impact Windows Servers

Tags: , ,