En ny sårbarhed er opdaget, CVE-2018-14.773, der påvirker Drupal, den populære open source content management system. Mere specifikt, sårbarheden bor i en del af en tredjepart bibliotek kaldet Symfoni Http Foundation komponent. Komponenten er en del af Drupal Core, med Drupal 8.x versioner påvirket før versionen 8.5.6.
Officiel beskrivelse af CVE-2018-14.773
Støtte til en (eftermæle) IIS header, der giver brugerne mulighed for at tilsidesætte stien i webadressen anmodningen via X-Original URL eller X-Rewrite URL HTTP-forespørgsel headeren giver brugeren mulighed for at få adgang til en webadresse, men har Symfoni returnere en anden en, der kan omgå restriktioner på højere niveau caches og web-servere.
Det skal også bemærkes, at, siden Symfony, webapplikationsframeworket med et sæt af PHP-komponenter, bliver brugt af en masse projekter, fejlen kan potentielt sætte mange web-applikationer i risiko for hacking. Fjernangribere kunne udnytte fejlen via en særligt udformet ’X-Original URL’ eller ’X-Rewrite URL’ HTTP header værdi, der tilsidesætter stien i webadressen anmodningen og kunne undvige adgangsbegrænsninger. Som et resultat, målsystemet kunne gengive en anden URL.
Heldigvis, CVE-2018-14.773 rettet i Symfony udgave 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14, og 4.1.3. Drupal har også lappet den fejl i sin seneste udgave Drupal 8.5.6.
CVE-2018-14.773 Аlso Fundet i i Zend Framework
Den samme sårbarhed findes også i Zend Foder og Diactoros biblioteker indgår i Drupal kerne, forskere advaret. Bemærk, at Drupal kerne ikke bruger den sårbare funktionalitet. Men, hvis et websted eller modul bruger Zend Feed eller Diactoros direkte, admin af sitet bør henvise til Zend Framework sikkerhed rådgivende.
Drupal blev for nylig kritiseret på grund af en række kritiske sikkerhedsproblemer, som forskerne døbt Drupalgeddon.
I april, en anden Drupalgeddon fjernkørsel af programkode fejl blev opdaget i content management system. Identificeret som CVE-2018-7602, den meget kritiske sårbarhed påvirket Drupal versioner 7.x og 8.x. Fejlen var aktivt udnyttet i naturen.