Drupal ออกแพทช์อุดช่องโหว่บน Core Engine

Drupal ผู้ให้บริการระบบ CMS ชื่อดัง ออก Security Advisory สำหรับให้คำแนะนำในการอุดช่องโหว่รวม 3 รายบน Core Engine ซึ่ง 2 ใน 3 รายการนั้นมีความรุนแรงระดับ Critical

ช่องโหว่ความรุนแรงระดับ Critical ประกอบด้วย

• Cross-site Scripting บน HTTP Exceptions ซึ่งช่วยให้แฮ็คเกอร์สามารถสร้าง URL แบบพิเศษ ที่สามารถรันโค้ดแปลกปลอมบนเบราเซอร์ของเหยื่อเมื่อถูกโหลดได้ สาเหตุมาจากการไม่ตรวจสอบ Exception ให้ดีเพียงพอ
• System.temporary Route ช่วยให้สามารถดาวน์โหลดรายงานการตั้งค่าฉบับเต็มได้โดยไม่จำเป็นต้องมีสิทธิ์ที่เหมาะสม (Export Configuration Permission)

ช่องโหว่อื่นๆ คือ

• ผู้ใช้ที่ไม่มี “Administer Comments” สามารถกำหนด Comment Visibility บน Node ที่ตนเองสามารถแก้ไขได้

Drupal เวอร์ชันที่ได้รับผลกระทบคือ 8.x ซึ่งแนะนำให้ผู้ใช้อัปเดตเป็นเวอร์ชัน 8.1.10 แทน เพื่ออุดช่องโหว่ดังกล่าว

รายละเอียดเพิ่มเติม: https://www.drupal.org/SA-CORE-2016-004