Blog Gratisan

Drupal Memperingatkan Dua Kerentanan Kritis

Halo semua, kali ini kita akan membahas tentang Drupal Memperingatkan Dua Kerentanan Kritis
. Seperti apa sih pembahasannya? Yuk simak!

Drupal mengumumkan dua kerentanan yang memengaruhi versi 9.2 dan 9.3 yang memungkinkan penyerang mengunggah file berbahaya dan mengendalikan situs. Tingkat ancaman dari dua kerentanan dinilai sebagai Cukup Kritis.

Badan Keamanan Cybersecurity & Infrastruktur Amerika Serikat (CISA) memperingatkan bahwa eksploitasi dapat menyebabkan penyerang mengambil alih situs internet berbasis Drupal yang rentan.

CISA menyatakan:

“Drupal telah merilis pembaruan keamanan untuk mengatasi kerentanan yang memengaruhi Drupal 9.2 dan 9.3.

Seorang penyerang dapat mengeksploitasi kerentanan ini untuk mengendalikan sistem yang terpengaruh.”

drupal

Drupal adalah sistem manajemen konten open supply populer yang ditulis dalam bahasa pemrograman PHP.

Banyak organisasi besar seperti Smithsonian Establishment, Common Music Group, Pfizer, Johnson & Johnson, Princeton College, dan Columbia College menggunakan Drupal untuk situs internet mereka.

API Formulir – Validasi Enter yang Tidak Benar

Kerentanan pertama mempengaruhi bentuk API Drupal. Kerentanannya adalah validasi enter yang tidak tepat, yang berarti bahwa apa yang diunggah melalui API formulir tidak divalidasi apakah diizinkan atau tidak.

Memvalidasi apa yang diunggah atau dimasukkan ke dalam formulir adalah praktik terbaik yang umum. Secara umum validasi enter dilakukan dengan pendekatan Permit Record dimana type mengharapkan enter tertentu dan akan menolak apapun yang tidak sesuai dengan enter atau add yang diharapkan.

Ketika formulir gagal untuk memvalidasi enter maka itu membuat situs internet terbuka untuk mengunggah file yang dapat memicu perilaku yang tidak diinginkan dalam aplikasi internet.

Pengumuman Drupal menjelaskan masalah spesifik:

“API formulir inti Drupal memiliki kerentanan di mana formulir kontribusi atau modul khusus tertentu mungkin rentan terhadap validasi enter yang tidak tepat. Ini dapat memungkinkan penyerang untuk menyuntikkan nilai yang tidak diizinkan atau menimpa information. Formulir yang terpengaruh jarang terjadi, tetapi dalam kasus tertentu penyerang dapat mengubah information penting atau sensitif.”

Inti Drupal – Akses Bypass

Bypass akses adalah bentuk kerentanan di mana mungkin ada cara untuk mengakses bagian situs melalui jalur yang tidak memiliki pemeriksaan kontrol akses, sehingga dalam beberapa kasus pengguna dapat memperoleh akses ke stage yang tidak mereka miliki. izin untuk.

Pengumuman Drupal menggambarkan kerentanan:

“Drupal 9.3 mengimplementasikan API akses entitas generik untuk revisi entitas. Namun, API ini tidak sepenuhnya terintegrasi dengan izin yang ada, yang mengakibatkan beberapa kemungkinan bypass akses bagi pengguna yang memiliki akses untuk menggunakan revisi konten secara umum, tetapi yang tidak memiliki akses ke merchandise particular person dari node dan konten media.”

Penerbit Didorong untuk Meninjau Nasihat Keamanan dan Menerapkan Pembaruan

United States Cybersecurity and Infrastructure Safety Company (CISA) dan Drupal mendorong penerbit untuk meninjau saran keamanan dan memperbarui ke versi terbaru.

kutipan

Baca Buletin Kerentanan Drupal CISA Resmi

Drupal Merilis Pembaruan Keamanan

Baca Dua Pengumuman Keamanan Drupal

Inti Drupal – Cukup kritis – Validasi input tidak tepat – SA-CORE-2022-008

Inti Drupal – Cukup kritis – Akses bypass – SA-CORE-2022-009


Semoga bermanfaat.

Leave a Reply