Новости

Разработчик CMS-системы Drupal устранил критическую уязвимость

22.02.2019
Разработчик CMS-системы Drupal устранил критическую уязвимость

20.02.2019 производитель системы управления содержимым веб-сайтов (Content Management System, CMS) Drupal опубликовал бюллетень безопасности с описанием критической уязвимости в ядре системы.

Уязвимость CVE-2019-6340 связана с некорректной проверкой данных в некоторых типах полей и может привести к выполнению произвольного PHP-кода. Эксплуатация уязвимости возможна в следующих случаях:

  • на сайте включен основной модуль RESTful Web Services (rest) Drupal 8, который разрешает PATCH- или POST-запросы;
  • на сайте включен другой модуль веб-сервисов, например, JSON: API в Drupal 8, Services или RESTful Web Services в Drupal 7.

Согласно бюллетеню, уязвимость затрагивает 8.5.х и 8.6.х версии CMS Drupal. Данные версии необходимо обновить до 8.5.11 и 8.6.10. Для Drupal 7 обновление ядра не требуется, но оно может понадобиться для обновления некоторых модулей, добавленных в Drupal 7. Все версии Drupal от 8 до 8.5.x являются устаревшими и уязвимы к указанной уязвимости.

Если обновление по каким-то причинам невозможно, то временным решением проблемы может стать отключение всех модулей для работы с веб-сервисами или запрет отправки PUT/PATCH/POST–запросов к ресурсам веб-сервисов.