Drupal phát hành bản cập nhật Core CMS để vá một số lỗ hổng bảo mật

Drupal, hệ thống quản lý nội dung nguồn mở phổ biến, đã phát hành các bản cập nhật nhằm giải quyết nhiều lỗ hổng bảo mật được đánh giá nghiêm trọng vừa phải trong Drupal Core có thể cho phép kẻ tấn công từ xa xâm phạm an ninh của hàng trăm ngàn trang web.

Drupal phát hành bản cập nhật Core CMS để vá một số lỗ hổng bảo mật - CyberSec365.org

Theo thông tin được công bố bởi các nhà phát triển Drupal, tất cả các lỗ hổng bảo mật mà Drupal đã vá trong tháng 4/2019 nằm trong thư viện được sử dụng bởi bên thứ 3 và có sẵn trong các phiên bản Drupal 7, Drupal 8.5 và Drupal 8.6.

Một trong những lỗ hổng bảo mật là lỗ hổng cross-site scripting (XSS) nằm trong plugin của bên thứ ba, có tên gọi là JQuery, một thư viện JavaScript phổ biến nhất đang được hàng triệu trang web sử dụng và cũng được tích hợp sẵn trong Drupal Core.

Tuần trước, JQuery đã phát hành phiên bản mới nhất jQuery 3.4.0 để vá lỗ hổng được báo cáo (lỗ hổng bảo mật này chưa được gán mã CVE), ảnh hưởng đến tất cả các phiên bản trước của thư viện cho đến ngày đó

"jQuery 3.4.0 includes a fix for some unintended behavior when using jQuery.extend(true, {}, ...). If an unsanitized source object contained an enumerable __proto__ property, it could extend the native Object.prototype," the advisory explains.

"It's possible that this vulnerability is exploitable with some Drupal modules."

 Ba lỗ hổng bảo mật còn lại nằm trong các thành phần Symfony PHP được sử dụng bởi Drupal Core có thể dẫn đến các cuộc tấn công cross-site scripting (CVE-2019-10909), thực thi mã từ xa (CVE-2019-10910) và bỏ qua xác thực (CVE-2019-1091).
Hiện tại, các nhà phát triển Drupal khuyến cáo quản trị viên nên cập nhật ngay các phiên bản Drupal mới nhất:

• Nếu bạn đang sử dụng Drupal 8.6, hãy cập nhật lên Drupal 8.6.15.
• Nếu bạn đang sử dụng Drupal 8.5 trở về trước, hãy cập nhật lên Drupal 8.5.15.
• Nếu bạn đang sử dụng Drupal 7, hãy cập nhật lên Drupal 7.66.

Nguồn: The Hacker News