Drupal heeft twee beveiligingsadviezen uitgegeven waarin wordt gewaarschuwd voor een kwetsbaarheid in verschillende versies van Drupal waardoor een aanvaller toegang kan krijgen tot gevoelige informatie.
Er zijn momenteel twee kwetsbaarheden in Drupal. Een daarvan is geclassificeerd als een kritieke kwetsbaarheid met een hoge ernst.
Kwetsbaarheid in bibliotheek van derden
Drupal gebruikt een template-engine van derden genaamd Twig.
Volgens de Drupal-documentatie:
“Wanneer uw webpagina wordt weergegeven, neemt de Twig-engine de sjabloon en verandert deze in een ‘gecompileerde’ PHP-sjabloon die wordt opgeslagen in een beveiligde map…”
Drupal gebruikt de Twig-bibliotheek voor sjablonen, maar ook voor een proces dat sanitisatie wordt genoemd, een manier om te voorkomen dat schadelijke bestanden worden geüpload.
Twig beschrijft de kwetsbaarheden als een kwetsbaarheid waarmee een aanvaller de bestandssysteemlader kan gebruiken om toegang te krijgen tot gevoelige bestanden.
Drupal waarschuwt:
“Meerdere kwetsbaarheden zijn mogelijk als een niet-vertrouwde gebruiker toegang heeft om Twig-code te schrijven, inclusief mogelijke ongeautoriseerde leestoegang tot privébestanden, de inhoud van
andere bestanden op de server- of databasereferenties.”
Deze kwetsbaarheid treft gebruikers van Drupal 9.3 en 9.4.
Aanbevolen actie om de kwetsbaarheid te verminderen
Drupal 9.3-gebruikers worden aangemoedigd om te upgraden naar versie 9.3.22.
Drupal 9.4-gebruikers worden aangemoedigd om te upgraden naar versie 9.4.7.
Matige kwetsbaarheid
Drupal waarschuwde ook voor een toegangsbypass-kwetsbaarheid die als matig is geclassificeerd en die uitgevers treft die de S3-bestandssysteemmodule voor Drupal 7.x gebruiken.
Een toegangsbypass-kwetsbaarheid is een kwetsbaarheid waarbij een aanvaller authenticatiebarrières kan omzeilen en toegang kan krijgen tot een toepassing en gevoelige bestanden die hij niet zou moeten hebben.
anders toegang hebben.
De kwetsbaarheid wordt omschreven als:
“De module verhindert onvoldoende toegang tot bestanden over meerdere bestandssysteemschema’s die in dezelfde bucket zijn opgeslagen.”
Het advies merkt op dat dit beveiligingslek wordt verzacht door verschillende stappen die moeten worden genomen voordat een aanvaller toegang kan krijgen.
De kennisgeving legt uit:
“Deze kwetsbaarheid wordt verkleind door het feit dat een aanvaller een methode moet verkrijgen om toegang te krijgen tot willekeurige bestandspaden, de site openbare of privé-overname moet hebben ingeschakeld en de metadatacache van het bestand ‘negeren’ moet zijn.
Aanbevolen handelwijze
Drupal-gebruikers die de S3 File System-module voor Drupal 7.x gebruiken, wordt geadviseerd om te upgraden naar S3 File System 7.x-2.14 om de kwetsbaarheid te patchen.
citaten
Drupal Core – Kritiek – Meerdere kwetsbaarheden – SA-CORE-2022-016
S3-bestandssysteem – Matig kritiek – Toegangsfout – SA-CONTRIB-2022-057
Twig-beveiligingsrelease: mogelijkheid om een sjabloon buiten een geconfigureerde map te laden bij gebruik van de bestandssysteemlader
Uitgelichte afbeelding door Shutterstock/Andrey_Popov
Hey, ik ben Brent, en ik speel al een lange tijd mee in de SEO scene. Ik ben vooral heel actief in de Amerikaanse markt, en hou dan ook wel van een uitdaging. Ik ben sinds kort aan het uitbreiden binnenin de Benelux, en besluit hier dan ook te oversharen!
Wil je meer leren, klik dan op lees meer!
