Güvenlik

Drupal'da Kritik Açık

Drupal'da uzaktan kod çalıştırmaya (RCE) izin veren önemli bir açık keşfedildi.

Said A.
Cu, 22/02/2019 - 22:49
Drupal'da Kritik Açık
FacebookTwitter

Drupal (CMS) için çarşamba günü yayımlanan güvenlik güncellemesi, Drupal'da keşfedilen uzaktan kod çalıştırmaya (RCE) izin veren kritik bir açığı gidermekte.

CVE-2019-6340 koduna sahip açık, saldırganların rastgele bir PHP kodu çalıştırmasına izin verebilecek bazı alan tiplerinde doğru veri filtreleme (data sanitization) yapılmamasından kaynaklanmakta. Açık Drupal güvenlik ekibinden Samuel Mortenson tarafından keşfedildi.

Drupal core modüllerinden olan "RESTful Web Services" sorunun kaynağı olarak gösterilmekte fakat Drupal "Web Hizmetleri" kategorisindeki diğer modüller de risk oluşturmakta. Drupal 8 tabanlı sürümler için mevcut olan sorun, yayımlanan 8.6.10 ve 8.5.11 sürümleriyle birlikte düzeltilmiştir. 

Geçtiğimiz yıl bulunan "Drupalgeddon" açıkları birçok Drupal tabanlı internet sitesinin hacklenmesine sebep olmuştu. Dün bulunan açık bu kadar büyük görünmese de kullanıcıların biran önce güncelleştirmeleri yapmaları önem taşımakta.