Casa > Cyber ​​Notizie > CVE-2018-14773 Symfony Flaw Affects Drupal Versions 8.x-8.5.6
CYBER NEWS

CVE-2.018-14.773 Symfony falla interessa Drupal versioni 8.x-8.5.6


Una nuova vulnerabilità è stata scoperta, CVE-2.018-14.773, che colpisce Drupal, il popolare sistema di gestione dei contenuti open-source. Più specificamente, la vulnerabilità risiede in un componente di una libreria di terze parti chiamato componente Symfony Http Fondazione. Il componente è parte di Drupal core, con le versioni 8.x Drupal interessati prima versione 8.5.6.




Descrizione ufficiale CVE-2.018-14.773

Supporto per una (eredità) intestazione IIS che consente agli utenti di sovrascrivere il percorso nell'URL della richiesta tramite l'X-Original-URL o X-Rewrite-URL intestazione di richiesta HTTP consente a un utente di accedere un URL, ma hanno Symfony tornare uno diverso che può bypassare le restrizioni alla cache di livello superiore e server web.

Va inoltre notato che, dal Symfony, il framework per applicazioni web con una serie di componenti di PHP, è utilizzato da un sacco di progetti, la falla potrebbe potenzialmente mettere molte applicazioni web a rischio di pirateria informatica. attaccanti remoto potrebbe sfruttare la falla tramite un appositamente predisposto ‘X-Original-URL’ o ‘X-Rewrite-URL’ valore di intestazione HTTP, che sostituisce il percorso nell'URL della richiesta e potrebbe eludere le restrizioni di accesso. Di conseguenza, il sistema di destinazione potrebbe rendere un URL diverso.

Per fortuna, CVE-2.018-14.773 è stato risolto nella versione Symfony 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14, e 4.1.3. Drupal ha patchato la falla nella sua ultima versione Drupal 8.5.6.

CVE-2.018-14.773 Аlso Trovato in in Zend Framework

La stessa vulnerabilità esiste anche nel feed Zend e librerie Diactoros inclusa nel nucleo Drupal, ricercatori avvertito. Si prega di notare che il nucleo di Drupal non usa la funzionalità vulnerabili. Tuttavia, se un sito o di un modulo utilizza feed Zend o Diactoros direttamente, l'amministratore del sito deve fare riferimento alla sicurezza Zend Framework consultivo.

Story correlati: CVE-2018-7602 molto critico Drupal Bug attivamente sfruttata nel selvaggio

Drupal è stato recentemente criticato a causa di una serie di problemi di sicurezza critici che i ricercatori doppiato Drupalgeddon.

Nel mese di aprile, un altro codice in modalità remota bug Drupalgeddon è stato scoperto nel sistema di gestione dei contenuti. Identificato come CVE-2018-7602, la vulnerabilità estremamente critica influenzata Drupal versioni 7.xe 8.x. Il bug è stato attivamente sfruttata in the wild.

Milena Dimitrova

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...