Eine neue Sicherheitslücke entdeckt worden,, CVE-2.018-14.773, das wirkt sich Drupal, das beliebte Open-Source Content-Management-System. Genauer, die Verwundbarkeit befindet sich in einer Komponente eines Drittanbieters Bibliothek namens Symfony Http Foundation Komponente. Die Komponente ist ein Teil von Drupal Core, mit Drupal 8.x-Versionen vor Version betroffen 8.5.6.
Offizielle Katalogbeschreibungen CVE-2.018-14.773
Unterstützung für eine (Erbe) IIS-Header, der Benutzer außer Kraft setzen Sie den Pfad in der Anforderungs-URL über den X-original-URL oder X-Rewrite-URL HTTP-Request-Header lässt ermöglicht es dem Benutzer eine URL zuzugreifen, sondern haben Symfony einen anderen zurück, die Beschränkungen für höhere Level-Caches umgehen können und Webserver.
Es sollte auch beachtet werden, dass, seit Symfony, die Web Application Framework mit einer Reihe von PHP-Komponenten, wird von vielen Projekten eingesetzt, der Fehler möglicherweise viele Web-Anwendungen in Gefahr Hacking setzen könnte. Entfernte Angreifer könnte den Fehler über eine speziell gestaltete ‚X-Original-URL-Exploit’ oder ‚X-Rewrite-URL’ HTTP-Header-Wert, die überschreibt den Pfad in der URL und könnte Zugriffsbeschränkungen umgehen. Infolge, das Zielsystem könnte eine andere URL machen.
Zum Glück, CVE-2.018-14.773 wurde in Symfony Version behoben 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14, und 4.1.3. Drupal hat gepatcht auch den Fehler in der aktuellen Version von Drupal 8.5.6.
CVE-2.018-14.773 lso im Zend Framework Gefunden in
Die gleiche Sicherheitslücke existiert auch in der Zend-Feed und Diactoros Bibliotheken enthalten in Drupal Kern, Forscher gewarnt. Bitte beachten Sie, dass Drupal Kern nicht die anfällige Funktionalität nicht verwendet. Jedoch, wenn eine Website oder ein Modul verwendet Zend-Feed oder Diactoros direkt, der Administrator der Website sollte auf die Zend Framework Sicherheit beziehen beratend.
Drupal wurde vor kurzem wegen Fragen im Zusammenhang mit einer Reihe von kritischen Sicherheits kritisiert die Forscher genannt Drupalgeddon.
Im April, ein anderer Drupalgeddon Remotecodeausführung Fehler wurde in dem Content-Management-System entdeckt. Identifiziert als CVE-2018-7602, die hoch kritische Lücke Drupal Versionen 7.x und 8.x betroffen. Der Fehler wurde aktiv in der freien Natur ausgebeutet.