[Cảnh Báo] Lại một lỗ hổng nghiệm trọng được phát hiện trong Drupal - hãy cập nhật website của bạn ngay khi có thể

Các nhà phát triển Drupal - một nền tảng quản lý nội dung mã nguồn mở được sử dụng bởi hàng triệu website trên thế giới, vừa phát hành một bản vá mới cho sản phẩm của mình để vá một lỗ hổng cực kỳ nghiêm trọng, có thể cho phép tin tặc tiến hành tấn công website từ xa.

[Cảnh Báo] Lại một lỗ hổng nghiệm trọng được phát hiện trong Drupal - hãy cập nhật website của bạn ngay khi có thể

Theo đó, lỗ hổng này - được đánh mã hiệu là CVE-2019-6340, là một lỗ hởng nằm trong Core của nền tảng Drupal, ảnh hưởng đến tất cả các phiên bản của nền tảng Drupal 7 và 8, có thể cho phép tin tặc thực thi mã lệnh PHP tuỳ ý trong một số trường hợp. 

Cụ thể, vấn đề này liên quan đến 2 module được tính hợp trong lõi của Drupal bao gồm RESTful Web Services (rest) và web services module.

Theo khuyến cáp từ các nhà phát triển Drupal, các dịch vụ web kể trên có thể xử lý không đúng các dữ liệu đầu vào của người dùng, dẫn đến khả năng bị tin tặc khai thác và chiếm quyền điều khiển website mà không cần bất kỳ lớp xác thưucj nào.

Hiện tại, nếu người dùng đang sử dụng Drupal 8.6.x và 8.x, hãy mau chóng cập nhật lên phiên bản Drupal 8.6.10 hoặc 8.5.11. Nếu đang sử dụng Drupal 7, bạn cần vô hiệu hóa tất cả các mô-đun dịch vụ web hoặc cấu hình máy chủ web của bạn để không cho phép các yêu cầu PUT / PATCH / POST đối với tài nguyên dịch vụ web

Nguồn: Drupal