>> サイバーニュース > CVE-2019-6340: Drupalの新しい非常に重大な欠陥
サイバーニュース

CVE-2019-6340: Drupalの新しい非常に重大な欠陥

新しい非常に重大な脆弱性, CVE-2019-6340として識別, Drupalで発見されたばかりです, そして幸いなことに、それはコンテンツ管理システムの最新バージョンですでに修正されています.

Drupalを実行している場合 7, コアアップデートは必要ありません, ただし、影響を受けるモジュールを使用している場合は、提供されたモジュールを更新する必要がある場合があります. 現時点では、これらのモジュールのリストを提供することはできません。, Drupalはセキュリティアドバイザリで述べました.




CVE-2019-6340技術履歴書

CVE-2019-6340は、Drupal Coreのリモートコード実行の欠陥であり、特定の場合に任意のPHPコードが実行される可能性があります. 脆弱性に関する十分な技術的詳細が利用可能ではありません. 既知のことは、一部のフィールドタイプが非フォームソースからのデータを適切にサニタイズしないために、欠陥がトリガーされることです。. バグはDrupalに影響します 7 とDrupal 8, チームは言った.

Drupalに基づくWebサイトは、RESTfulWebサービスの場合にのみ利用できます。 (休み) モジュールが有効になっているため、PATCHまたはPOSTリクエストが許可されます. この欠陥は、別のWebサービスモジュールが有効になっている場合にもトリガーされます.

CVE-2019-6340をどのように軽減できますか?

脆弱性を軽減するには, 影響を受けるユーザーは、すべてのWebサービスモジュールを無効にできます, またはWebサーバーを構成します(s) WebサービスリソースへのPUT/PATCH/POSTリクエストを許可しない. 対応するサーバーの構成によっては、Webサービスリソースが複数のパスで利用できる場合があることに注意してください。(s).

Drupalの場合 7, たとえば、リソースは通常、パスを介して利用できます (クリーンURL) とへの引数を介して “q” クエリ引数. Drupalの場合 8, index.php /のプレフィックスが付いている場合でも、パスは機能する可能性があります, アドバイザリーは言った.

関連している: [wplinkpreview url =”https://Sensorstechforum.com/cve-2018-7600-drupal-bug-used-new-attack/”]CVE-2018-7600新しい攻撃で使用されるDrupalバグ

Drupalの別のリモートコード実行バグ, Drupalgeddon2と呼ばれる, 昨年10月に悪用されました. 未知の犯罪集団が、以前にパッチが適用されたCVE-2018-7600アドバイザリで追跡された古いセキュリティバグを利用していました 2017. この侵入の試みはDrupalgeddon2攻撃と呼ばれ、入手可能な調査によると, これにより、ハッカーは脆弱なサイトを悪用して完全に制御できるようになりました, 個人データへのアクセスを含む.

ミレーナ・ディミトロワ

プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする

その他の投稿

フォローしてください:
ツイッター

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します