آسيب‌پذيری حياتی در دروپال با امکان اجرای کد از راه دور

سه‌شنبه ۰۷ اسفند ۱۳۹۷
کارشناسان امنیتی یک آسیب پذیری بسیار بحرانی در سیستم مدیریت محتوای محبوب دروپال کشف کردند که می‌تواند برای اجرای کد از راه دور مورد سوءاستفاده قرار گیرد.
مرکز آپا شریف
SUT-APA-LOGO

کارشناسان امنیتی یک آسیب پذیری بسیار بحرانی در سیستم مدیریت محتوای محبوب دروپال کشف کردند که می‌تواند برای اجرای کد از راه دور مورد سوءاستفاده قرار گیرد.
این حفره‌ی امنیتی که با شناسه‌ی “CVE-2019-6340” ردیابی می‌شود، ناشی از عدم تأیید اطلاعات مناسب در برخی از انواع فیلدها است که در برخی موارد می‌تواند به مهاجم، اجازه‌ی اجرای کد دلخواه PHP را بدهد.
سوءاستفاده از “CVE-2019-6340” در صورتی امکان‌پذیر است که ماژول هسته‌ی “RESTful Web Services” فعال باشد و اجازه‌ی درخواست‌های “PATCH” یا “POST” را بدهد. در صورت فعال‌بودن سرویس ماژول دیگر مانند “JSON: API” در دروپال 8 یا سرویس‌های “RESTful” یا خدمات در دروپال 7 نیز می‌توان از این آسیب‌پذیری سوءاستفاده کرد.
به‌گفته‌ی دروپال، برای کاهش فوری آسیب‌پذیری، می‌توان تمام ماژول‌های سرویس وب را غیرفعال کرد یا سرورهای وب خود را پیکربندی کرد تا اجازه‌ی درخواست‌های PUT / PATCH / POST را به منابع خدمات وب ندهند. باید توجه داشت که منابع خدمات وب ممکن است براساس تنظیمات سرورها در مسیرهای مختلف در دسترس باشند. برای دروپال 7، این منابع به‌طور معمول از طریق مسیر “clean URLs” و از طریق آرگومان‌ها به آرگومان پرس‌وجوی ‘q’ در دسترس است. برای دروپال 8، مسیرها ممکن است با پیشوند “ index.php /” کار کنند.
با توجه به محبوبیت سوءاستفاده از دروپال در میان هکرها، به‌شدت توصیه می‌شود که کاربران آخرین نسخه را نصب کنند:
کاربرانی که از دروپال .x8.6 استفاده می‌کنند، وب‌سایت خود را به دروپال 8.6.10 ارتقا دهند.
کاربرانی که از دروپال .x8.5 یا قبل از آن استفاده می کنند، وب‌سایت خود را به دروپال 8.5.11 ارتقا دهند.
دروپال 7 نیازی به به‌روزرسانی ندارد، اما برخی از به‌روزرسانی‌ها برای دروپال 7 افزوده شده است که به کاربران توصیه می‌شود آن‌ها را نصب کنند.