>> サイバーニュース > CVE-2018-14773 Symfony Flaw Affects Drupal Versions 8.x-8.5.6
サイバーニュース

CVE-2018-14773Symfonyの欠陥がDrupalバージョン8.x-8.5.6に影響を与える


新しい脆弱性が発見されました, CVE-2018-14773, Drupalに影響します, 人気のあるオープンソースのコンテンツ管理システム. すなわち, この脆弱性は、SymfonyHttpFoundationコンポーネントと呼ばれるサードパーティライブラリのコンポーネントに存在します. コンポーネントはDrupalコアの一部です, Drupal8.xバージョンがバージョンより前に影響を受けた場合 8.5.6.




CVE-2018-14773の公式説明

のサポート (遺産) ユーザーがX-Original-URLまたはX-Rewrite-URLを介してリクエストURLのパスを上書きできるようにするIISヘッダーHTTPリクエストヘッダーを使用すると、ユーザーは1つのURLにアクセスできますが、Symfonyは別のURLを返すため、上位レベルのキャッシュの制限を回避できます。およびWebサーバー.

また、注意する必要があります, Symfony以来, PHPコンポーネントのセットを備えたWebアプリケーションフレームワーク, 多くのプロジェクトで使用されています, この欠陥により、多くのWebアプリケーションがハッキングのリスクにさらされる可能性があります. リモートの攻撃者は、特別に細工された'X-Original-URLを介して欠陥を悪用する可能性があります’ または'X-Rewrite-URL’ HTTPヘッダー値, これはリクエストURLのパスを上書きし、アクセス制限を回避する可能性があります. 結果として, ターゲットシステムは別のURLをレンダリングする可能性があります.

幸運, CVE-2018-14773はSymfonyバージョンで修正されました 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14, と 4.1.3. Drupalは最新バージョンのDrupalの欠陥にもパッチを当てています 8.5.6.

CVE-2018-14773АlsoがZendフレームワークで見つかりました

Drupalコアに含まれるZendFeedおよびDiactorosライブラリにも同じ脆弱性が存在します, 研究者 警告. Drupalコアは脆弱な機能を使用しないことに注意してください. でも, サイトまたはモジュールがZendFeedまたはDiactorosを直接使用している場合, サイトの管理者は、ZendFrameworkのセキュリティを参照する必要があります アドバイザリー.

関連記事: CVE-2018-7602野生で活発に悪用されている非常に重大なDrupalバグ

Drupalは最近、研究者がDrupalgeddonと呼んだ多くの重大なセキュリティ問題のために批判されました.

4月中, 別のDrupalgeddonリモートコード実行バグがコンテンツ管理システムで発見されました. CVE-2018-7602として識別, 非常に重大な脆弱性がDrupalバージョン7.xおよび8.xに影響を及ぼしました. バグは実際に悪用されました.

ミレーナ・ディミトロワ

プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする

その他の投稿

フォローしてください:
ツイッター

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します