Una nuova vulnerabilità è stata scoperta, CVE-2.018-14.773, che colpisce Drupal, il popolare sistema di gestione dei contenuti open-source. Più specificamente, la vulnerabilità risiede in un componente di una libreria di terze parti chiamato componente Symfony Http Fondazione. Il componente è parte di Drupal core, con le versioni 8.x Drupal interessati prima versione 8.5.6.
Descrizione ufficiale CVE-2.018-14.773
Supporto per una (eredità) intestazione IIS che consente agli utenti di sovrascrivere il percorso nell'URL della richiesta tramite l'X-Original-URL o X-Rewrite-URL intestazione di richiesta HTTP consente a un utente di accedere un URL, ma hanno Symfony tornare uno diverso che può bypassare le restrizioni alla cache di livello superiore e server web.
Va inoltre notato che, dal Symfony, il framework per applicazioni web con una serie di componenti di PHP, è utilizzato da un sacco di progetti, la falla potrebbe potenzialmente mettere molte applicazioni web a rischio di pirateria informatica. attaccanti remoto potrebbe sfruttare la falla tramite un appositamente predisposto ‘X-Original-URL’ o ‘X-Rewrite-URL’ valore di intestazione HTTP, che sostituisce il percorso nell'URL della richiesta e potrebbe eludere le restrizioni di accesso. Di conseguenza, il sistema di destinazione potrebbe rendere un URL diverso.
Per fortuna, CVE-2.018-14.773 è stato risolto nella versione Symfony 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14, e 4.1.3. Drupal ha patchato la falla nella sua ultima versione Drupal 8.5.6.
CVE-2.018-14.773 Аlso Trovato in in Zend Framework
La stessa vulnerabilità esiste anche nel feed Zend e librerie Diactoros inclusa nel nucleo Drupal, ricercatori avvertito. Si prega di notare che il nucleo di Drupal non usa la funzionalità vulnerabili. Tuttavia, se un sito o di un modulo utilizza feed Zend o Diactoros direttamente, l'amministratore del sito deve fare riferimento alla sicurezza Zend Framework consultivo.
Drupal è stato recentemente criticato a causa di una serie di problemi di sicurezza critici che i ricercatori doppiato Drupalgeddon.
Nel mese di aprile, un altro codice in modalità remota bug Drupalgeddon è stato scoperto nel sistema di gestione dei contenuti. Identificato come CVE-2018-7602, la vulnerabilità estremamente critica influenzata Drupal versioni 7.xe 8.x. Il bug è stato attivamente sfruttata in the wild.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: