Drupal’dagi muhim zaiflik tuzatildi.
Muammo Drupal 8.6.10 va 8.5.11 da hal qilindi.
Mashhur kontentni boshqarish tizimi Drupal yadrosida masofadan turib kodni bajarish imkonini beruvchi xavfli zaiflik (CVE-2019-6340) aniqlandi. Muammo ma’lum maydon turlarida ma’lumotlarni tekshirishning yo’qligi tufayli yuzaga keladi, bu esa tajovuzkorga o’zboshimchalik bilan PHP kodini bajarishga imkon berishi mumkin. CVE-2019-6340 dan quyidagi shartlarda foydalanish mumkin: a) RESTful Web Services API yoqilgan va PATCH yoki POST so’rovlariga ruxsat berilgan va b) saytda boshqa xizmat moduli (masalan, Drupal 8 da JSON:API yoki Drupal 7 da RESTful Web Services yoki Services) yoqilgan.
Muammo Drupal 8.6.10 va 8.5.11 da hal qilindi. Drupal 7 da Xizmatlar modulini yangilash hozircha talab qilinmasa-da, ishlab chiquvchilar ushbu zaiflik bilan bog’liq boshqa yangilanishlarni o’rnatishni tavsiya qiladilar, agar modul ishlatilsa.
Vaqtinchalik yechim sifatida Drupal jamoasi veb-xizmatlar bilan ishlaydigan barcha modullarni o’chirib qo’yishni yoki xizmat resurslariga PUT/PATCH/POST so’rovlarini yuborishni taqiqlashni tavsiya qiladi.
Foydalanuvchilarga yangilanishlarni iloji boricha tezroq o’rnatish tavsiya etiladi, chunki tajovuzkorlar ko’pincha Drupal’dagi xavfli zaifliklardan foydalanadilar. Masalan, o’tgan yili kiberjinoyatchilar Drupalgeddon2 va Drupalgeddon3 zaifliklaridan foydalanib, Drupal saytlarining katta qismini buzib kirishdi va ulardan zararli dasturlarni tarqatish, kriptovalyuta qazib olish va firibgarlik faoliyatini amalga oshirish uchun foydalanishdi.
