Een nieuwe kwetsbaarheid is ontdekt, CVE-2018-14.773, die van invloed Drupal, de populaire open-source content management systeem. Specifieker, de kwetsbaarheid ligt in een component van een externe library genoemd Symfony HTTP Foundation component. De component van Drupal Core, met Drupal 8.x versies getroffen voorafgaand aan versie 8.5.6.
Officiële Beschrijving van CVE-2018-14.773
Ondersteuning voor een (nalatenschap) IIS header waarmee gebruikers negeren het pad in het verzoek URL via de X-Original-URL of X-Rewrite-URL HTTP request header kan een gebruiker toegang tot een URL, maar hebben Symfony terugkeren een andere die beperkingen op hoger niveau caches kunnen omzeilen en webservers.
Ook moet worden opgemerkt dat, sinds Symfony, het web applicatie framework met een set van PHP componenten, wordt gebruikt door een groot aantal projecten, de fout zou kunnen zetten vele webapplicaties op risico van het hacken. Externe aanvallers zouden de fout te benutten via een speciaal vervaardigd ‘X-Original-URL’ of ‘X-Rewrite-URL’ HTTP header-waarde, die het pad overschrijft in het verzoek URL en de toegang beperkingen kunnen omzeilen. Dientengevolge, het doelsysteem kan een andere URL maken.
Gelukkig, CVE-2018-14.773 is opgelost in Symfony versie 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14, en 4.1.3. Drupal is ook gepatched de fout in de laatste versie van Drupal 8.5.6.
CVE-2018-14.773 Аlso Gevonden in in het Zend Framework
Dezelfde beveiligingslek bestaat ook in de Zend Feed en Diactoros bibliotheken opgenomen in Drupal core, onderzoekers gewaarschuwd. Houd er rekening mee dat Drupal core niet de kwetsbare functionaliteit niet gebruikt. Echter, Als een site of module maakt gebruik van Zend Feed of Diactoros direct, de beheerder van de site moet verwijzen naar de Zend Framework veiligheid adviserend.
Drupal werd onlangs bekritiseerd vanwege een aantal kritieke beveiligingsproblemen die onderzoekers nagesynchroniseerde Drupalgeddon.
In april, andere Drupalgeddon uitvoering van externe code bug werd ontdekt in het content management systeem. Geïdentificeerd als CVE-2018-7602, de zeer kritieke kwetsbaarheid getroffen Drupal versies 7.x en 8.x. De bug werd actief in het wild misbruik.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: