Drupal Memperingatkan Berbagai Kerentanan Kritis

Drupal Memperingatkan Berbagai Kerentanan Kritis

Drupal mengeluarkan penasehat keamanan dari empat kerentanan kritis yang dinilai dari cukup kritis hingga kritis. Kerentanan mempengaruhi Drupal versi 9.3 dan 9.4.

Penasihat keamanan memperingatkan bahwa berbagai kerentanan dapat memungkinkan peretas untuk mengeksekusi kode arbitrer, menempatkan situs dan server dalam risiko.

Kerentanan ini tidak memengaruhi Drupal versi 7.

Selain itu, setiap versi Drupal sebelum 9.3.x telah mencapai status End of Life, yang berarti bahwa mereka tidak lagi menerima pembaruan keamanan, membuatnya berisiko untuk digunakan.

Kerentanan Kritis: Eksekusi Kode PHP Sewenang-wenang

Kerentanan eksekusi kode PHP arbitrer adalah kerentanan di mana penyerang dapat mengeksekusi perintah arbitrer di server.

Kerentanan secara tidak sengaja muncul karena dua fitur keamanan yang seharusnya memblokir unggahan file berbahaya tetapi gagal karena tidak berfungsi dengan baik bersama-sama, menghasilkan kerentanan kritis saat ini yang dapat mengakibatkan eksekusi kode jarak jauh.

Menurut Drupal:

“…perlindungan untuk dua kerentanan ini sebelumnya tidak bekerja dengan benar bersama-sama.

Akibatnya, jika situs dikonfigurasi untuk mengizinkan pengunggahan file dengan ekstensi htaccess, nama file file ini tidak akan dibersihkan dengan benar.

Ini bisa memungkinkan melewati perlindungan yang disediakan oleh file .htaccess default Drupal core dan kemungkinan eksekusi kode jarak jauh di server web Apache.”

Eksekusi kode jarak jauh adalah ketika penyerang dapat menjalankan file berbahaya dan mengambil alih situs web atau seluruh server. Dalam contoh khusus ini penyerang dapat menyerang server web itu sendiri saat menjalankan perangkat lunak server web Apache.

Apache adalah perangkat lunak server web open source yang menjalankan segala sesuatu seperti PHP dan WordPress. Ini pada dasarnya adalah bagian perangkat lunak dari server itu sendiri.

Kerentanan Bypass Akses

Kerentanan ini, yang dinilai cukup Kritis, memungkinkan penyerang mengubah data yang tidak seharusnya mereka akses.

Menurut penasihat keamanan:

“Dalam keadaan tertentu, API formulir inti Drupal mengevaluasi akses elemen formulir secara tidak benar.

…Tidak ada formulir yang disediakan oleh inti Drupal yang diketahui rentan. Namun, formulir yang ditambahkan melalui kontribusi atau modul atau tema khusus mungkin terpengaruh.”

Beberapa Kerentanan

Drupal menerbitkan total empat nasihat keamanan:

Penasihat ini memperingatkan beberapa kerentanan yang memengaruhi Drupal yang dapat mengekspos situs ke berbagai jenis serangan dan hasil.

Ini adalah beberapa masalah potensial:

  • Eksekusi kode PHP sewenang-wenang
  • Skrip lintas situs
  • Cookie bocor
  • Akses kerentanan Bypass
  • Akses data tidak sah
  • Kerentanan pengungkapan informasi

Memperbarui Drupal Disarankan

Penasihat keamanan dari Drupal merekomendasikan untuk segera memperbarui versi 9.3 dan 9.4.

Pengguna Drupal versi 9.3 harus mengupgrade ke versi 9.3.19.

Pengguna Drupal versi 9.4 harus mengupgrade ke versi 9.4.3.

Kutipan

Saran Keamanan Inti Drupal

Inti Drupal – Kritis – Eksekusi kode PHP sewenang-wenang

Gambar unggulan oleh Shutterstock/solarseven

Share

Leave a Reply

Your email address will not be published.