اعلام آسیب‌پذیری بحرانی XSS در هسته ی دروپال

اعلام آسیب‌پذیری بحرانی XSS در هسته ی دروپال

اعلام آسیب‌پذیری بحرانی XSS در هسته ی دروپال

برای دومین بار در عرض یک ماه، آسیب‌پذیری مهم دیگری در دروپال کشف شد که می‌تواند به مهاجمان اجازه‌ی حملات پیشرفته‌ای مانند سرقت کوکی، کیلاگر، فیشینگ و سرقت هویت دهد.

این آسیب‌پذیری که توسط تیم امنیتی دروپال کشف شده است، آسیب‌پذیری XSS می باشد که در افزونه CKEditor قرار دارد که بطور پیشفرض در هسته Drupal برای کمک به مدیران سایت و کاربران قرار دارد.

CKEditor اسکریپت ویرایشگر متن مبتنی بر جاوا است که توسط بسیاری از وب‌سایت‌ها استفاده می‌شود. همچنین در برخی از پروژه‌های وب محبوب نیز از پیش نصب شده است.

بر اساس یک توصیه امنیتی منتشر شده توسط CKEditor، آسیب‌پذیری XSS ناشی از اعتبار نامناسب تگ “img” در پلاگین بهبود یافته برای CKEditor 4.5.11 و نسخه های بعدی است.

cke1

این آسیب‌پذیری می تواند به مهاجم اجازه دهد کد HTML و کد جاوااسکریپت خود را در مرورگر قربانی اجرا کند و به اطلاعات حساس دسترسی پیدا کند.

CKEditor  با انتشار نسخه CKEditor 4.9.2 این آسیب پذیری را رفع کرده است. همچنین تیم امنیتی دروپال ، با انتشار نسخه‌های 8.5.2 و 8.4.7  این آسیب‌پذیری را رفع کرده است.

از آنجایی که افزونه CKEditor در دروپال 7.x برای بارگیری از سرورهای CDN پیکربندی شده است، از این نقص تحت تاثیر قرار نمی‌گیرد.

با این حال، اگر شما پلاگین CKEditor را به صورت دستی نصب کرده اید، توصیه می شود پلاگین خود را به آخرین نسخه از سایت رسمی خود دانلود و ارتقا دهید.

دروپال به تازگی یک آسیب‌پذیری بحرانی را با نام Drupalgeddon2 که نسخه های 6 تا 8 را تحت تاثیر قرار می داد، پچ کرده است.