انتشار وصله‌ی يک آسيب‌پذيری حياتی در افزونه‌ی CKEditor در هسته‌ی دروپال

دوشنبه ۰۳ اردیبهشت ۱۳۹۷
دروپال وصله‌ای برای یک آسیب‌پذیری حیاتی مربوط به افزونه‌ی CKEditor در هسته‌ی دروپال منتشر کرده است.
مرکز آپا شریف
SUT-APA-LOGO

دروپال یک سیستم مدیریت محتوای متن‌باز است که برای انتشار و مدیریت محتوا در وب، مورداستفاده قرار می‌گیرد.
برای دومین بار در این ماه، یک آسیب‌پذیری مهم در دروپال کشف شده است و کارشناسان توصیه نموده‌اند که برای جلوگیری از سوءاستفاده از این آسیب‌پذیری، کاربرانی که از این سیستم استفاده می‌کنند، هسته‌ی دروپال خود را به‌روز کنند.
دروپال به‌روزرسانی‌های مربوط به این آسیب‌پذیری را در دروپال 7 و 8 منتشر کرده است. یک مهاجم از راه دور می‌تواند از این آسیب‌پذیری برای دسترسی به اطلاعات حساس سوءاستفاده کند.
خطر امنیتی این آسیب‌پذیری نسبتاً حیاتی است. این آسیب‌پذیری، در افزونه‌ی CKEditor قرار دارد. CKEditor یک کتابخانه‌ی جاوا اسکریپت است که به‌طور پیش‌فرض در هسته‌ی دروپال قرار دارد و می‌تواند منجر به یک آسیب‌پذیری تزریق اسکریپت (XSS) شود. این آسیب‌پذیری ناشی از این واقعیت است که در هنگام استفاده از افزونه‌ی “ image2” (که دروپال 8 نیز از آن استفاده می‌کند) امکان اجرای حملات XSS و اجرای کد مخرب در CKEditor وجود خواهد داشت.
آسیب‌پذیری CKEditor‌، با به‌روز‌رسانی هسته‌ی دروپال به نسخه‌های 8.5.2 و 8.4.7 برطرف می‌شود. ازآنجایی‌که افزونه‌ی CKEditor‌ در نسخه 7.x برای استفاده در کارگزار‌های CDN طراحی شده‌ است، تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرد. درصورتی‌که CKEditor در دروپال 7 با استفاده از روش دیگری (به‌عنوان‌مثال با ماژول WYSIWYG یا ماژول CKEditor با CKEditor به‌صورت محلی) نصب شده است و نسخه‌ی استفاده‌شده، از 4.5.11 تا 4.9.1 باشد، کتابخانه‌ی جاوا اسکریپت باید با دانلود CKEditor 4.9.2 از سایت CKEditor، به‌روزرسانی شود.
به کاربرانی که در ماه گذشته، سیستم مدیریت محتوای دروپال خود را به‌روز‌‌رسانی ننموده‌اند توصیه می‌شود این کار را هرچه زودتر انجام دهند تا از خطر این آسیب‌‌پذیری حیاتی در امان باشند.