Drupal vá lỗ hổng vượt qua truy cập và ghi đè dữ liệu

Drupal vừa phát hành các bản cập nhật an ninh để giải quyết một số lỗ hổng có thể dẫn đến việc bỏ qua truy cập và ghi đè dữ liệu.

Drupal vá lỗ hổng vượt qua truy cập và ghi đè dữ liệu


Lỗi đầu tiên liên quan đến vấn đề vượt qua truy cập tồn tại do API truy cập thực thể chung được triển khai không đúng cho các bản sửa đổi đối tượng.

Drupal cho biết: “API này không được tích hợp hoàn toàn với các quyền hiện có, dẫn đến việc một số người dùng có thể vượt qua những giới hạn nhất định để có thể sửa đổi nội dung bài đăng. Tuy nhiên, lỗi này không cấp quyền truy cập vào các mục riêng lẻ của những phần nội dung riêng biệt (node) và nội dung đa phương tiện”.

Lỗ hổng ảnh hưởng đến các phiên bản Drupal 9.3 và các trang web đang sử dụng hệ thống sửa đổi của Drupal.

Lỗi thứ hai được xác định trong API biểu mẫu của Drupal và bắt nguồn từ việc xác thực đầu vào không đúng trong các biểu mẫu mô-đun tùy chỉnh hoặc các biểu mẫu từ nguồn đóng góp nhất định.

Khai thác lỗ hổng này cho phép kẻ tấn công có thể chèn các giá trị không được phép hoặc ghi đè dữ liệu. Các API bị ảnh hưởng là không phổ biến, nhưng Drupal lưu ý rằng, trong một số trường hợp nhất định, lỗi có thể cho phép kẻ tấn công sửa đổi dữ liệu quan trọng hoặc nhạy cảm.

“Chúng tôi không biết chính xác các biểu mẫu nào trong Drupal core bị ảnh hưởng, nhưng các biểu mẫu từ những dự án đóng góp và tùy chỉnh có thể bị ảnh hưởng”.

Cả hai lỗ hổng này đều được đánh giá có mức “nghiêm trọng vừa phải”, đồng thời Drupal khuyến cáo người dùng nên cập nhật lên phiên bản vá càng sớm càng tốt.

Các lỗi đã được giải quyết với việc phát hành Drupal 9.3.12 và Drupal 9.2.18. Các phiên bản Drupal 9 trước 9.2.x và Drupal 8 đã không còn được hỗ trợ, do đó sẽ không được cập nhật. Drupal 7 không bị ảnh hưởng.

Nguồn: Whitehat

0/Đăng bình luận/Bình luận

Web99 - Thiết kế website