新しい脆弱性が発見されました, CVE-2018-14773, Drupalに影響します, 人気のあるオープンソースのコンテンツ管理システム. すなわち, この脆弱性は、SymfonyHttpFoundationコンポーネントと呼ばれるサードパーティライブラリのコンポーネントに存在します. コンポーネントはDrupalコアの一部です, Drupal8.xバージョンがバージョンより前に影響を受けた場合 8.5.6.
CVE-2018-14773の公式説明
のサポート (遺産) ユーザーがX-Original-URLまたはX-Rewrite-URLを介してリクエストURLのパスを上書きできるようにするIISヘッダーHTTPリクエストヘッダーを使用すると、ユーザーは1つのURLにアクセスできますが、Symfonyは別のURLを返すため、上位レベルのキャッシュの制限を回避できます。およびWebサーバー.
また、注意する必要があります, Symfony以来, PHPコンポーネントのセットを備えたWebアプリケーションフレームワーク, 多くのプロジェクトで使用されています, この欠陥により、多くのWebアプリケーションがハッキングのリスクにさらされる可能性があります. リモートの攻撃者は、特別に細工された'X-Original-URLを介して欠陥を悪用する可能性があります’ または'X-Rewrite-URL’ HTTPヘッダー値, これはリクエストURLのパスを上書きし、アクセス制限を回避する可能性があります. 結果として, ターゲットシステムは別のURLをレンダリングする可能性があります.
幸運, CVE-2018-14773はSymfonyバージョンで修正されました 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14, と 4.1.3. Drupalは最新バージョンのDrupalの欠陥にもパッチを当てています 8.5.6.
CVE-2018-14773АlsoがZendフレームワークで見つかりました
Drupalコアに含まれるZendFeedおよびDiactorosライブラリにも同じ脆弱性が存在します, 研究者 警告. Drupalコアは脆弱な機能を使用しないことに注意してください. でも, サイトまたはモジュールがZendFeedまたはDiactorosを直接使用している場合, サイトの管理者は、ZendFrameworkのセキュリティを参照する必要があります アドバイザリー.
Drupalは最近、研究者がDrupalgeddonと呼んだ多くの重大なセキュリティ問題のために批判されました.
4月中, 別のDrupalgeddonリモートコード実行バグがコンテンツ管理システムで発見されました. CVE-2018-7602として識別, 非常に重大な脆弱性がDrupalバージョン7.xおよび8.xに影響を及ぼしました. バグは実際に悪用されました.