Een nieuwe kwetsbaarheid is ontdekt, CVE-2018-14.773, die van invloed Drupal, de populaire open-source content management systeem. Specifieker, de kwetsbaarheid ligt in een component van een externe library genoemd Symfony HTTP Foundation component. De component van Drupal Core, met Drupal 8.x versies getroffen voorafgaand aan versie 8.5.6.
Officiële Beschrijving van CVE-2018-14.773
Ondersteuning voor een (nalatenschap) IIS header waarmee gebruikers negeren het pad in het verzoek URL via de X-Original-URL of X-Rewrite-URL HTTP request header kan een gebruiker toegang tot een URL, maar hebben Symfony terugkeren een andere die beperkingen op hoger niveau caches kunnen omzeilen en webservers.
Ook moet worden opgemerkt dat, sinds Symfony, het web applicatie framework met een set van PHP componenten, wordt gebruikt door een groot aantal projecten, de fout zou kunnen zetten vele webapplicaties op risico van het hacken. Externe aanvallers zouden de fout te benutten via een speciaal vervaardigd ‘X-Original-URL’ of ‘X-Rewrite-URL’ HTTP header-waarde, die het pad overschrijft in het verzoek URL en de toegang beperkingen kunnen omzeilen. Dientengevolge, het doelsysteem kan een andere URL maken.
Gelukkig, CVE-2018-14.773 is opgelost in Symfony versie 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14, en 4.1.3. Drupal is ook gepatched de fout in de laatste versie van Drupal 8.5.6.
CVE-2018-14.773 Аlso Gevonden in in het Zend Framework
Dezelfde beveiligingslek bestaat ook in de Zend Feed en Diactoros bibliotheken opgenomen in Drupal core, onderzoekers gewaarschuwd. Houd er rekening mee dat Drupal core niet de kwetsbare functionaliteit niet gebruikt. Echter, Als een site of module maakt gebruik van Zend Feed of Diactoros direct, de beheerder van de site moet verwijzen naar de Zend Framework veiligheid adviserend.
Drupal werd onlangs bekritiseerd vanwege een aantal kritieke beveiligingsproblemen die onderzoekers nagesynchroniseerde Drupalgeddon.
In april, andere Drupalgeddon uitvoering van externe code bug werd ontdekt in het content management systeem. Geïdentificeerd als CVE-2018-7602, de zeer kritieke kwetsbaarheid getroffen Drupal versies 7.x en 8.x. De bug werd actief in het wild misbruik.