Устранена опасная уязвимость системы управления контентом Drupal

Разработчики популярной системы управление контентом Drupal выявили и устранили опасную уязвимость своего продукта. Уязвимость CVE-2019-6340 связана с недостаточной проверкой данных при обращении к RESTful веб-сервисам. Ее эксплуатация позволяет злоумышленникам удаленно исполнить произвольный код и в результате установить полный контроль над сайтом. Опасности подвержены сайты на Drupal версии 8 с подключенным модулем RESTful Web Services, разрешающим отправку запросов PATCH и POST. Также уязвимыми могут оказаться и сайты на Drupal версии 7. Ядро этой версии не затронуто уязвимостью, но она может содержаться в дополнительных сервисных модулях.

Представители Drupal объявили о предстоящем выходе обновления за день до его выпуска и попросили администраторов заранее выбрать время для установки ПО. Это явно свидетельствует о том, что проблема расценивается как чрезвычайно серьезная. Drupal является третьей в мире по популярности системой управления контентом. Ее использует порядка 3% всех сайтов глобальной сети. Столь небольшая цифра не должна вводить в заблуждение. Если учесть, что общее число сайтов в интернете перевалило за миллиард, понятно, что речь идет о десятках миллионов потенциально уязвимых веб-ресурсов.


Источник:  ZDNET

Возврат к списку