Door de kwetsbaarheid van Drupal kunnen aanvallers de controle over het systeem overnemen

Er zit een kwetsbaarheid in het content management systeem van Drupal waardoor aanvallers controle kunnen krijgen over kwetsbare systemen. Daar waarschuwt de Amerikaanse cybersecurity-autoriteit CISA momenteel voor. Er is een bijgewerkte software beschikbaar om de kwetsbaarheid te verhelpen.

De kwetsbaarheid laat toegangsbeperkingen toe en treft meerdere versies van Drupal CISA houdt het waarschuwingsbericht nauwlettend in de gaten samen. De autoriteit adviseert Drupal-beheerders en -gebruikers om de nodige updates toe te passen.

Drupal: cross-site scripting aanvalsvector

De kwetsbaarheid is gebaseerd op het feit dat de Drupal-kern een pagina voorziet met uitgebreide informatie die phpinfo() ejaculeren. Dit wordt gebruikt om de PHP-systeemconfiguratie te diagnosticeren. Hoewel het niet rechtstreeks toegankelijk is, kunnen aanvallers toegang krijgen tot de informatie als ze een cross-site scripting-aanval kunnen uitvoeren op gebruikers met verhoogde rechten.

De kwetsbaarheid heeft nog geen CVE-vermelding ontvangen. Het Drupal-project beoordeelt de kwetsbaarheid als een matig risico. Geüpdatete softwareversies van het CMS dichten het beveiligingslek echter. naar Drupal 10.0 is versie 10.0.5ik Drupal-versie 9.5.5ik Drupal 9.4 vanaf 9.4.12 En voor Drupal 7 versie 7.95.0. Ontwikkelaars geven aan dat alle versies van Drupal 9 voor 9.4 uur beschikbaar zijn eind van het leven Aangekomen en ontvangt geen beveiligingsupdates meer. Drupal 8 heeft het ook eind van het leven ontvangst. Indien nodig moeten IT-managers updaten naar een ondersteunde versie van Drupal en beschikbare updates tijdig toepassen.

Afgelopen november moest het Drupal-project kwetsbaarheden dichten die daarmee gebouwde websites kwetsbaar maakten. De aanvallers hadden toegang tot ongeautoriseerde gegevens die al in quarantaine waren geplaatst.

(DMK)