Drupal ออกแพทช์อุดช่องโหว่บน Core Engine

Drupal ผู้ให้บริการระบบ CMS ชื่อดัง ออก Security Advisory สำหรับให้คำแนะนำในการอุดช่องโหว่รวม 3 รายบน Core Engine ซึ่ง 2 ใน 3 รายการนั้นมีความรุนแรงระดับ Critical

Credit: alexmillos/ShutterStock
Credit: alexmillos/ShutterStock

ช่องโหว่ความรุนแรงระดับ Critical ประกอบด้วย

  • Cross-site Scripting บน HTTP Exceptions ซึ่งช่วยให้แฮ็คเกอร์สามารถสร้าง URL แบบพิเศษ ที่สามารถรันโค้ดแปลกปลอมบนเบราเซอร์ของเหยื่อเมื่อถูกโหลดได้ สาเหตุมาจากการไม่ตรวจสอบ Exception ให้ดีเพียงพอ
  • System.temporary Route ช่วยให้สามารถดาวน์โหลดรายงานการตั้งค่าฉบับเต็มได้โดยไม่จำเป็นต้องมีสิทธิ์ที่เหมาะสม (Export Configuration Permission)

ช่องโหว่อื่นๆ คือ

  • ผู้ใช้ที่ไม่มี “Administer Comments” สามารถกำหนด Comment Visibility บน Node ที่ตนเองสามารถแก้ไขได้

Drupal เวอร์ชันที่ได้รับผลกระทบคือ 8.x ซึ่งแนะนำให้ผู้ใช้อัปเดตเป็นเวอร์ชัน 8.1.10 แทน เพื่ออุดช่องโหว่ดังกล่าว

รายละเอียดเพิ่มเติม: https://www.drupal.org/SA-CORE-2016-004

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Boundless ขยับเข้าตลาด AI ใช้ GPU คริปโตที่ว่างอยู่ลดต้นทุนอินเฟอเรนซ์

Boundless บริษัทคอมพิวเตอร์แบบกระจายศูนย์ซึ่งสร้างเครือข่ายหน่วยประมวลผลกราฟิก (GPU) เพื่อสร้างข้อพิสูจน์แบบ Zero-Knowledge สำหรับอุตสาหกรรมคริปโตเคอร์เรนซี กำลังขยายเครือข่ายเข้าสู่งานอินเฟอเรนซ์ปัญญาประดิษฐ์ ซึ่งเป็นกระบวนการในการประมวลผลเพื่อตอบสนองต่อคำสั่ง AI

[Video] Future-Proofing Your Cloud: Building a Defense Architecture That Outsmarts AI Attacks with Agentic SOC

โดย Metro Systems Corporation (MSC) ร่วมกับ Amazon Web Services Thailand (AWS) และ บริษัท ซินแคลร์ จำกัด