Drupal은 공격자가 데이터를 덮어쓰고 허용되지 않는 값을 주입할 수 있도록 하는 두 가지 중간 정도의 치명적인 취약점에 대해 경고했습니다.
Drupal은 공격자가 악성 파일을 업로드하고 사이트를 제어할 수 있는 버전 9.2 및 9.3에 영향을 미치는 두 가지 취약점을 발표했습니다. 두 취약점의 위협 수준은 보통 위험으로 평가됩니다.
미국 사이버 보안 및 인프라 보안국(CISA)은 공격자가 취약한 Drupal 기반 웹사이트를 제어할 수 있는 익스플로잇을 경고했습니다.
CISA는 다음과 같이 말했습니다.
“Drupal은 Drupal 9.2 및 9.3에 영향을 미치는 취약점을 해결하기 위한 보안 업데이트를 출시했습니다.
공격자는 이러한 취약점을 악용하여 영향을 받는 시스템을 제어할 수 있습니다.”
드루팔
Drupal은 PHP 프로그래밍 언어로 작성된 인기 있는 오픈 소스 콘텐츠 관리 시스템입니다.
Smithsonian Institution, Universal Music Group, Pfizer, Johnson & Johnson, Princeton University 및 Columbia University와 같은 많은 주요 조직은 웹사이트에 Drupal을 사용합니다.
양식 API – 부적절한 입력 유효성 검사
첫 번째 취약점은 Drupal의 양식 API에 영향을 미칩니다. 취약점은 부적절한 입력 유효성 검사입니다. 즉, 양식 API를 통해 업로드된 내용은 허용 여부에 대해 유효성이 검사되지 않습니다.
업로드되거나 양식에 입력된 내용을 확인하는 것은 일반적인 모범 사례입니다. 일반적으로 입력 유효성 검사는 양식이 특정 입력을 예상하고 예상 입력 또는 업로드와 일치하지 않는 모든 것을 거부하는 허용 목록 접근 방식으로 수행됩니다.
양식이 입력의 유효성을 검사하지 못하면 웹 응용 프로그램에서 원치 않는 동작을 유발할 수 있는 파일을 업로드할 수 있도록 웹 사이트를 열어 둡니다.
Drupal의 발표는 특정 문제에 대해 다음과 같이 설명했습니다.
“Drupal 코어의 양식 API에는 특정 기여 또는 사용자 정의 모듈의 양식이 부적절한 입력 유효성 검사에 취약할 수 있는 취약점이 있습니다. 이를 통해 공격자는 허용되지 않는 값을 삽입하거나 데이터를 덮어쓸 수 있습니다. 영향을 받는 형식은 드물지만 어떤 경우에는 공격자가 중요하거나 민감한 데이터를 변경할 수 있습니다.”
Drupal Core – 액세스 우회
액세스 우회는 액세스 제어 검사가 누락된 경로를 통해 사이트의 일부에 액세스할 수 있는 방법이 있을 수 있는 취약점의 한 형태이며, 그 결과 사용자가 갖고 있지 않은 수준에 액세스할 수 있는 경우가 있습니다. 에 대한 권한.
지금 검증된 프리랜서와 함께 비즈니스를 성장시키십시오
Fiverr Business는 팀이 필요에 따라 세계 최대 규모의 재능 있는 프리랜서와 협업하고 위임할 수 있는 도구를 제공합니다.
Drupal의 발표는 취약점에 대해 다음과 같이 설명했습니다.
“Drupal 9.3은 엔티티 개정을 위한 일반 엔티티 액세스 API를 구현했습니다. 그러나 이 API는 기존 권한과 완전히 통합되지 않았기 때문에 일반적으로 콘텐츠 개정판을 사용할 수 있는 액세스 권한은 있지만 노드 및 미디어 콘텐츠의 개별 항목에 액세스할 수 없는 사용자에게는 일부 액세스 우회가 가능합니다.”
보안 권고를 검토하고 업데이트를 적용하도록 권장하는 게시자
미국 CISA(Cybersecurity and Infrastructure Security Agency)와 Drupal은 게시자가 보안 권고를 검토하고 최신 버전으로 업데이트할 것을 권장합니다