Drupal verzoekt gebruikers om kritische uitvoering van externe code kwetsbaarheden patchen

Drupal heeft er bij gebruikers om hun CMS updaten naar websites te beschermen tegen kritieke beveiligingsgaten die kunnen leiden tot kapingen en uitvoering van externe code.

De Drupal content management systeem (CMS) bevoegdheden ten minste één miljoen websites, en komt na WordPress en Joomla in populariteit. Echter, het CMS is populair bij zakelijke gebruikers dankzij de e-commerce-functionaliteit, en ongeveer negen procent van ‘s werelds top 10.000 websites lopen het Drupal systeem.

Op woensdag, Drupal security team is gebleken dat een “kritische” uitvoering van externe code kwetsbaarheden ten minste 13.000 websites in gevaar hebben verlaten als gevolg van het gebruik van specifieke, kwetsbare modules.

CVE-ID’s zijn aangevraagd.

De modules bevat een externe uitvoering van code die kan een aanvaller om volledig over het terrein te nemen met behulp van een aantal speciaal vervaardigde aanvragen “, zegt Drupal security team.” De zwakte kan worden misbruikt om een ​​verscheidenheid van acties op de site te nemen, mogelijk inclusief volledig rekening op de site en server.

Tot overmaat van ramp, elke bezoeker op een kwetsbare domein hosting van deze modules kan de kwestie te exploiteren om een ​​website te kapen maken.

Een getroffen module is de RESTWS tool, gebruikt om REST API’s maken en momenteel is geïnstalleerd op meer dan 5800 websites. Als de fout wordt geëxploiteerd door middel van deze module, kunnen aanvallers willekeurige PHP-code uit te voeren. Het probleem werd ontdekt door beveiligingsexpert Devin Żuczek.

Een andere module beïnvloed door de bug is de Coder module, gebruikt voor de code analyse van bijna 5.000 Drupal domeinen. Overgeleverd door Nicky Bloor, is het “zeer kritisch” fout veroorzaakt door een gebrek aan validatie in.php script input van de gebruiker, wat leidt tot het uitvoeren van externe code. De module hoeft niet te worden ingeschakeld voor benutten.

De kosten van ransomware aanvallen: 1000000000 $ dit jaar; Chrome etikettering HTTP-verbindingen als niet-beveiligde start; de Hyperledger Project groeit als gangbusters; Nu kunt u een USB-stick die alles vernietigt op zijn pad te kopen

De laatste module die Drupal domeinen plaatsen in gevaar is het webformulier Multiple File Upload systeem. Ontdekt door Ben Dougherty van het Drupal Security Team, de “kritische” bug laat aanvallers mogelijk uit te voeren op afstand code, afhankelijk van welke bibliotheken beschikbaar zijn op het domein. Echter, wordt het probleem verzacht als een aanvaller de mogelijkheid om een ​​webformulier in te dienen met een Multiple veld File Input moet hebben.

De kwetsbaarheden zijn opgelost in de nieuwste versie, en de gebruikers wordt gevraagd om hun websites onmiddellijk bij te werken.

In februari, Drupal uitgegeven een update die 10 ernstige bugs in het CMS, waarvan sommige ook had het potentieel leiden tot uitvoering van externe code en de website kaping vast.

FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren

Veiligheid; FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren, veiligheid, WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging vast te stellen; beveiliging; Witte Huis benoemt eerste Federal Chief Information Security Officer, veiligheid, Pentagon bekritiseerd voor cyber -emergency reactie van de overheid waakhond

WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging op te lossen

Witte Huis benoemt eerste Federal Chief Information Security Officer

Pentagon bekritiseerd voor cyber-rampenbestrijding door de overheid waakhond