Trzy popularne moduły Drupala otrzymują poprawki do błędów związanych z przejęciem strony

Zespół bezpieczeństwa popularnego systemu zarządzania treścią Drupal pracował z opiekunami trzech niezależnych modułów w celu naprawienia krytycznych luk, które mogłyby umożliwić napastnikowi przejęcie strony internetowe.

Luki umożliwiają atakującym wykonywanie fałszywych serwerów WWW kodu PHP, które hostują witryny Drupal z zainstalowanymi modułami RESTWS, Coder lub Webform dla wielu plików. Moduły te nie są częścią jądra Drupala, ale są wykorzystywane przez tysiące witryn.

Moduł RESTWS jest popularnym narzędziem do tworzenia interfejsów programowania aplikacji (API) i jest obecnie zainstalowany na ponad 5800 stronach internetowych. Nieuwierzytelnieni atakujący mogą wykorzystać lukę umożliwiającą zdalne wykonanie kodu w jej funkcji wywoływania zwrotnego strony, wysyłając specjalnie spreparowane żądania do witryny.

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Nie ma czynnika ograniczającego ryzyko i uaktualnienia do zaleca się najnowszą wersję modułu, która naprawia wadę.

Coder to kolejny popularny moduł, który pozwala administratorom Drupal sprawdzać kod pod kątem różnych standardów kodowania i najlepszych praktyk. Jest zainstalowany na ponad 4950 stronach internetowych i zawiera również luki w zabezpieczeniach umożliwiających zdalne wykonanie kodu, które mogą zostać wykorzystane przez nieuwierzytelnionych napastników.

Moduł nie musi nawet być włączony, aby wada mogła być użyta, sama jego obecność w systemie System plików wystarcza.

Na koniec moduł Webform wielokrotnego przesyłania plików umożliwia administratorom witryn otrzymywanie wielu plików od użytkowników i jest instalowany na około 3000 witryn internetowych. Ma również lukę, która może prowadzić do zdalnego wykonywania kodu, ale wykorzystanie luki zależy od tego, które biblioteki są dostępne w witrynie.

Ponadto, osoba atakująca musi mieć możliwość przesłania formularza internetowego ze specjalnie spreparowanym wejściem i, w zależności od w konfiguracji strony może to wymagać uwierzytelnienia. Ponieważ istnieją czynniki łagodzące, które mogłyby ograniczyć wpływ luki, został oceniony jako krytyczny, a nie wysoce krytyczny.

CMS Drupal obsługuje ponad milion witryn internetowych, w tym 1 na 10 najpopularniejszych 10 000 stron internetowych, które są w oparciu o znany system zarządzania treścią. Jest powszechnie stosowany przez firmy.