Drupal Core’da jiddiy zaiflik aniqlandi
Boshqarilayotgan kontent tizimlari (CMS) orasida keng qo‘llaniladigan Drupal Core tizimida xavfli zaiflik aniqlangan. Ushbu zaiflikni ekspluatatsiya qilish natijasida tajovuzkorlar qurbonning brauzeri orqali zararli kodni ishga tushirishi mumkin. Ushbu zaiflik, asosan, Drupal 7 versiyalaridagi Overlay moduliga tegishli bo‘lib, cross-site scripting (XSS) muammosiga olib keladi. Buning oqibatida tizim foydalanuvchilariga va veb-saytlarga tahdid soluvchi bir qator xavfli xatti-harakatlar sodir etilishi mumkin.
Mazkur zaiflik haqida qisqacha ma’lumot quyidagicha:
- Zaiflik identifikatori: SA-CORE-2024-005
- Tur: Reflected Cross-Site Scripting (XSS)
- Jiddiylik darajasi: Kritik
- Tavsifi: Drupal 7’dagi Overlay moduli foydalanuvchining kiritgan ma’lumotlarini yetarlicha tozalashda kamchiliklarga ega. Ushbu kamchilikdan foydalanib, tajovuzkor qurbonning brauzeri orqali zararli JavaScript kodlarini ishga tushirishi mumkin.
Ushbu zaiflikni ekspluatatsiya qilish orqali mumkin bo‘lgan zararlar:
- Qurbonning maxfiy ma’lumotlari, jumladan, sessiya tokenlari va cookie fayllarini o‘g‘irlash.
- Qurbon nomidan ruxsatsiz xatti-harakatlarni amalga oshirish.
- Veb-sayt ko‘rinishini o‘zgartirish va phishing (firibgarlik) hujumlarini amalga oshirish.
Mazkur zaiflik faqat quyidagi versiyalarga tegishli:
- Drupal 7.102 dan oldingi barcha versiyalar.
Drupal foydalanuvchilari quyidagi choralarni amalga oshirishlari tavsiya etiladi:
- Drupal 7 foydalanuvchilari tizimni 7.102 yoki undan yuqori versiyaga yangilashlari lozim.
- Ushbu muammodan butunlay qutulish uchun Overlay modulini o‘chirib qo‘yish mumkin.
Qo‘shimcha Ma’lumotlar
- Drupal 8, 10 va 11 versiyalari bu zaiflikdan ta’sirlanmaydi, chunki Overlay moduli ushbu versiyalardan chiqarib tashlangan.
- Zaiflik faqat “Access the administrative overlay” huquqiga ega foydalanuvchilarga va Overlay moduli yoqilgan holatlarga tegishli.
Ushbu zaiflikdan kelib chiqadigan xavflarni kamaytirish uchun ta’sirlangan Drupal versiyalaridan foydalanuvchilar tizimlarini imkon qadar tezroq yangilashlari kerak.
Tizimni doimiy ravishda yangilab turish va zaifliklarni bartaraf etish xavfsizlikning eng samarali chorasidir. Drupal foydalanuvchilari o‘z tizimlarining xavfsizligini ta’minlashda ogoh bo‘lishlari kerak.