fbpx

Drupal waarschuwt voor een kritieke, zeer ernstige kwetsbaarheid

Share This Post


Drupal heeft twee beveiligingsadviezen uitgegeven waarin wordt gewaarschuwd voor een kwetsbaarheid in verschillende versies van Drupal waardoor een aanvaller toegang kan krijgen tot gevoelige informatie.

Er zijn momenteel twee kwetsbaarheden in Drupal. Een daarvan is geclassificeerd als een kritieke kwetsbaarheid met een hoge ernst.

Kwetsbaarheid in bibliotheek van derden

Drupal gebruikt een template-engine van derden genaamd Twig.

Volgens de Drupal-documentatie:

“Wanneer uw webpagina wordt weergegeven, neemt de Twig-engine de sjabloon en verandert deze in een ‘gecompileerde’ PHP-sjabloon die wordt opgeslagen in een beveiligde map…”

Drupal gebruikt de Twig-bibliotheek voor sjablonen, maar ook voor een proces dat sanitisatie wordt genoemd, een manier om te voorkomen dat schadelijke bestanden worden geüpload.

Twig beschrijft de kwetsbaarheden als een kwetsbaarheid waarmee een aanvaller de bestandssysteemlader kan gebruiken om toegang te krijgen tot gevoelige bestanden.

Drupal waarschuwt:

“Meerdere kwetsbaarheden zijn mogelijk als een niet-vertrouwde gebruiker toegang heeft om Twig-code te schrijven, inclusief mogelijke ongeautoriseerde leestoegang tot privébestanden, de inhoud van
andere bestanden op de server- of databasereferenties.”

Deze kwetsbaarheid treft gebruikers van Drupal 9.3 en 9.4.

Aanbevolen actie om de kwetsbaarheid te verminderen

Drupal 9.3-gebruikers worden aangemoedigd om te upgraden naar versie 9.3.22.

Drupal 9.4-gebruikers worden aangemoedigd om te upgraden naar versie 9.4.7.

Matige kwetsbaarheid

Drupal waarschuwde ook voor een toegangsbypass-kwetsbaarheid die als matig is geclassificeerd en die uitgevers treft die de S3-bestandssysteemmodule voor Drupal 7.x gebruiken.

Een toegangsbypass-kwetsbaarheid is een kwetsbaarheid waarbij een aanvaller authenticatiebarrières kan omzeilen en toegang kan krijgen tot een toepassing en gevoelige bestanden die hij niet zou moeten hebben.
anders toegang hebben.

De kwetsbaarheid wordt omschreven als:

“De module verhindert onvoldoende toegang tot bestanden over meerdere bestandssysteemschema’s die in dezelfde bucket zijn opgeslagen.”

Het advies merkt op dat dit beveiligingslek wordt verzacht door verschillende stappen die moeten worden genomen voordat een aanvaller toegang kan krijgen.

De kennisgeving legt uit:

“Deze kwetsbaarheid wordt verkleind door het feit dat een aanvaller een methode moet verkrijgen om toegang te krijgen tot willekeurige bestandspaden, de site openbare of privé-overname moet hebben ingeschakeld en de metadatacache van het bestand ‘negeren’ moet zijn.

Aanbevolen handelwijze

Drupal-gebruikers die de S3 File System-module voor Drupal 7.x gebruiken, wordt geadviseerd om te upgraden naar S3 File System 7.x-2.14 om de kwetsbaarheid te patchen.

citaten

Drupal Core – Kritiek – Meerdere kwetsbaarheden – SA-CORE-2022-016

S3-bestandssysteem – Matig kritiek – Toegangsfout – SA-CONTRIB-2022-057

Twig-beveiligingsrelease: mogelijkheid om een ​​sjabloon buiten een geconfigureerde map te laden bij gebruik van de bestandssysteemlader

Uitgelichte afbeelding door Shutterstock/Andrey_Popov



Source link

More To Explore

OpenAI sluit gebrekkige AI-detector af
Marketing Nieuwtjes

OpenAI sluit gebrekkige AI-detector af

OpenAI heeft zijn AI-classificatie, een tool die is ontworpen om door AI gegenereerde tekst te identificeren, stopgezet na kritiek op de nauwkeurigheid ervan. De beëindiging

WACHT! VOORDAT JE GAAT...

Geef me jouw E-mail Address, en dan stuur ik je een GRATIS kopie van mijn boek, waarin ik je laat zien hoe je jouw inkomen kan verdubbelen in 90 dagen!