drupal-drupal7-drupal8-1-696x307
اردیبهشت ۳, ۱۳۹۷0

اعلام آسیب‌پذیری بحرانی XSS در هسته ی دروپال

نوشته شده توسط :وحید علمی دراردیبهشت ۳, ۱۳۹۷

برای دومین بار در عرض یک ماه، آسیب‌پذیری مهم دیگری در دروپال کشف شد که می‌تواند به مهاجمان اجازه‌ی حملات پیشرفته‌ای مانند سرقت کوکی، کیلاگر، فیشینگ و سرقت هویت دهد.

این آسیب‌پذیری که توسط تیم امنیتی دروپال کشف شده است، آسیب‌پذیری XSS می باشد که در افزونه CKEditor قرار دارد که بطور پیشفرض در هسته Drupal برای کمک به مدیران سایت و کاربران قرار دارد.

CKEditor اسکریپت ویرایشگر متن مبتنی بر جاوا است که توسط بسیاری از وب‌سایت‌ها استفاده می‌شود. همچنین در برخی از پروژه‌های وب محبوب نیز از پیش نصب شده است.

بر اساس یک توصیه امنیتی منتشر شده توسط CKEditor، آسیب‌پذیری XSS ناشی از اعتبار نامناسب تگ “img” در پلاگین بهبود یافته برای CKEditor 4.5.11 و نسخه های بعدی است.

این آسیب‌پذیری می تواند به مهاجم اجازه دهد کد HTML و کد جاوااسکریپت خود را در مرورگر قربانی اجرا کند و به اطلاعات حساس دسترسی پیدا کند.

CKEditor  با انتشار نسخه CKEditor 4.9.2 این آسیب پذیری را رفع کرده است. همچنین تیم امنیتی دروپال ، با انتشار نسخه‌های ۸٫۵٫۲ و ۸٫۴٫۷  این آسیب‌پذیری را رفع کرده است.

از آنجایی که افزونه CKEditor در دروپال ۷٫x برای بارگیری از سرورهای CDN پیکربندی شده است، از این نقص تحت تاثیر قرار نمی‌گیرد.

با این حال، اگر شما پلاگین CKEditor را به صورت دستی نصب کرده اید، توصیه می شود پلاگین خود را به آخرین نسخه از سایت رسمی خود دانلود و ارتقا دهید.

دروپال به تازگی یک آسیب‌پذیری بحرانی را با نام Drupalgeddon2 که نسخه های ۶ تا ۸ را تحت تاثیر قرار می داد، پچ کرده است.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پانزده − ده =

sama   طراحی شده توسط شرکت سما وب هاست
کپی رایت © 2016.