Drupal ออกแพทช์อุดช่องโหว่บน Core Engine

Drupal ผู้ให้บริการระบบ CMS ชื่อดัง ออก Security Advisory สำหรับให้คำแนะนำในการอุดช่องโหว่รวม 3 รายบน Core Engine ซึ่ง 2 ใน 3 รายการนั้นมีความรุนแรงระดับ Critical

Credit: alexmillos/ShutterStock
Credit: alexmillos/ShutterStock

ช่องโหว่ความรุนแรงระดับ Critical ประกอบด้วย

  • Cross-site Scripting บน HTTP Exceptions ซึ่งช่วยให้แฮ็คเกอร์สามารถสร้าง URL แบบพิเศษ ที่สามารถรันโค้ดแปลกปลอมบนเบราเซอร์ของเหยื่อเมื่อถูกโหลดได้ สาเหตุมาจากการไม่ตรวจสอบ Exception ให้ดีเพียงพอ
  • System.temporary Route ช่วยให้สามารถดาวน์โหลดรายงานการตั้งค่าฉบับเต็มได้โดยไม่จำเป็นต้องมีสิทธิ์ที่เหมาะสม (Export Configuration Permission)

ช่องโหว่อื่นๆ คือ

  • ผู้ใช้ที่ไม่มี “Administer Comments” สามารถกำหนด Comment Visibility บน Node ที่ตนเองสามารถแก้ไขได้

Drupal เวอร์ชันที่ได้รับผลกระทบคือ 8.x ซึ่งแนะนำให้ผู้ใช้อัปเดตเป็นเวอร์ชัน 8.1.10 แทน เพื่ออุดช่องโหว่ดังกล่าว

รายละเอียดเพิ่มเติม: https://www.drupal.org/SA-CORE-2016-004


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

TechTalkThai คว้ารางวัลในงาน Prime Minister Awards: Thailand Cybersecurity Excellence Award 2022

บริษัทเทคทอล์กไทยกรุ๊ป จำกัด (TechTalkThai) โดยคุณสุธีร์ กิจเจริญการกุล ผู้ร่วมก่อตั้งและประธานบริษัทฯ ได้รับเกียรติเข้ารับมอบโล่รางวัลดีเด่น ในฐานะหน่วยงานให้การสนับสนุนการดำเนินการด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศดีเด่น Cybersecurity Excellence Award (Supporting) ภายในงาน Prime Minister …

Tanium ร่วมกับ Microsoft Intelligent Security Association เพื่อเสริมความแข็งแกร่งให้กับความปลอดภัยด้านไอที

Microsoft และ Tanium จะเปลี่ยนอนาคตของการรักษาความปลอดภัยและการดำเนินงานด้านไอทีสำหรับองค์กร