Accueil > Nouvelles Cyber > CVE-2018-14773 Symfony Flaw Affects Drupal Versions 8.x-8.5.6
CYBER NOUVELLES

CVE-2018-14773 Symfony Flaw affecte les versions Drupal 8.x-8.5.6


Une nouvelle vulnérabilité a été découverte, CVE-2018-14773, qui affecte Drupal, le populaire système de gestion de contenu open source. Plus précisement, la vulnérabilité réside dans un composant d'une bibliothèque tiers appelé composant Symfony Http Foundation. La composante fait partie de Drupal de base, avec Drupal versions 8.x affectées avant la version 8.5.6.




Description de CVE-2018-14773

Le soutien à une (héritage) tête IIS qui permet aux utilisateurs de modifier le chemin dans l'URL de demande via le X-Original URL ou X-Rewrite-URL tête de requête HTTP permet à un utilisateur d'accéder à une URL, mais ont Symfony retourner un différent qui peut contourner les restrictions sur les caches de niveau supérieur et les serveurs Web.

Il convient également de noter que, depuis Symfony, le cadre d'applications Web avec un ensemble de composants PHP, est utilisé par un grand nombre de projets, le défaut pourrait mettre de nombreuses applications Web à risque de piratage. Les attaquants distants pourraient exploiter la faille par un « X-Original URL spécialement conçue’ ou « X-Rewrite-URL’ valeur d'en-tête HTTP, qui remplace le chemin dans l'URL de demande et pourrait contourner les restrictions d'accès. Par conséquent, le système cible pourrait rendre une URL différente.

Heureusement, CVE-2018-14773 a été corrigé dans la version Symfony 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14, et 4.1.3. Drupal a également corrigé la faille dans sa dernière version Drupal 8.5.6.

CVE-2018-14773 Аlso Trouvé dans dans le Zend Framework

La même vulnérabilité existe aussi dans le flux Zend et bibliothèques Diactoros inclus dans le noyau Drupal, des chercheurs averti. S'il vous plaît noter que le noyau Drupal n'utilise pas la fonctionnalité vulnérables. Cependant, si un site ou un module utilise Feed Zend ou Diactoros directement, l'administrateur du site doit se référer à la sécurité Zend Framework consultatif.

histoire connexes: CVE-2018-7602 Bug Drupal hautement critique activement exploitée dans le sauvage

Drupal a récemment été critiqué en raison d'un certain nombre de questions de sécurité critiques que les chercheurs surnommés Drupalgeddon.

En Avril, un autre bug d'exécution de code à distance Drupalgeddon a été découverte dans le système de gestion de contenu. Identifié comme CVE-2018-7602, la vulnérabilité très critique affecté les versions 7.x et 8.x Drupal. Le bogue a été activement exploitée dans la nature.

Milena Dimitrova

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...