هشدار: دروپال را به‌روز کنید

دروپال در به‌روزرسانی اخیر خود چند آسیب‌پذیری را رفع کرده است که بعضی از آن‌ها بحرانی هستند.

 هشدار: دروپال را به‌روز کنید

دروپال در به‌روزرسانی اخیر خود چند آسیب‌پذیری را رفع کرده است که بعضی از آن‌ها بحرانی هستند.

 

Content Moderation – بحرانی متوسط – دور زدن دسترسی – دروپال 8

در برخی از شرایط، تعدیل محتوا (Content moderation) نمی‌تواند به درستی بررسی کند که کاربر اجازه استفاده از برخی گذارها (transitions) را دارد یا خیر. برای حل این مساله تغییرات زیر انجام شده اند:

 

  • ModerationStateConstraintValidator 

دو سرویس جدید به این سرویس اضافه شده اند. اگر کلاسی را از این کلاس مشتق می‌کنید (subclass) اطمینان حاصل کنید که این دو وابستگی به عنوان ورودی به سازنده کلاس ارسال می‌شوند (اگر سازنده کلاس override شده است).

 

  • StateTransitionValidationInterface

یک متد جدید (isTransitionValid) به این رابط (interface) اضافه شده است.پیاده‌سازی‌های این رابط که از کلاس  StateTransitionValidation ارث نمی‌برند باید این متد را پیاده‌سازی کنند.در مورد پیاده‌سازی‌هایی که از این کلاس ارث می‌برند، باید اطمینان حاصل کنید که تمام تغییرات رفتاری‌ای که در این پیاده‌سازی‌ها اتفاق می‌افتد، در این متد جدید نیز منعکس شود.

 

مجوزهای کاربری

قبلا کاربرانی که به گذارهای تعدیل محتوا دسترسی نداشتند، به طور ضمنی اجازه به‌روزرسانی محتوا را می‌یافتند (در صورتی که حالت (state) محتوا تغییر نمی‌کرد). اکنون بررسی‌های لازم برای جلوگیری از این مشکل به کد اضافه شده است.

 

تزریق URL خارجی از طریق URL alias – بحرانی متوسط – Open Redirect – دروپال 7 و 8

ماژول path به کاربرانی با مجوز “administer paths” اجازه می‌دهد URLهای زیبا (pretty URLs) ایجاد کنند. تحت شرایطی، یک کاربر سایت می‌تواند مسیری را وارد کند که باعث open redirect شدن به یک URL بدخواه می‌شود.

اکنون اگر کاربری بخواهد این حمله را انجام دهد باید مجوز “administer paths” را داشته باشد که این باعث کم شدن احتمال حمله می‌شود.

 

Anonymous Open Redirect – بحرانی متوسط – Open Redirect – دروپال 8

Drupal core و برخی ماژول‌های اضافه شده به آن از یک پارامتر کوئری در URLها استفاده می‌کنند تا پس از انجام عملی در صفحه فعلی، کاربر را به یک مقصد جدید هدایت کنند. تحت شرایط خاصی کاربران بدخواه می‌توانند با استفاده از این پارامتر، URLهای بدخواهی بسازند و به کاربران وانمود کنند که در حال انتقال به یک سایت شخص ثالث هستند و بدین شکل کاربران در معرض حملات مهندسی اجتماعی قرار می‌گیرند.

 

حذف مدیر رویداد RedirectResponseSubscriber

در وصله جدید، تابع DrupalCoreEventSubscriberRedirectResponseSubscriber::sanitizeDestination  حذف شده است.

اگر کلاسی را از این کلاس مشتق کرده اید یا این تابع را فراخوانی می‌کنید، پیاده‌سازی خود را تغییر دهید.

 

تزریق در DefaultMailSystem::mail() – بحرانی – اجرای کد از راه دور – دروپال  7 و 8

در هنگام ارسال ایمیل، برخی متغیرها به طور مناسب پاکسازی نمی‌شدند و این امکان اجرای کد از راه دور را فراهم می‌کرد.

 

صحت سنجی لینک محتوایی Contextual Links

ماژول Contextual Links لینک‌های محتوایی درخواست شده را به طور مناسب صحت‌سنجی نمی‌کند.

اکنون اگر کاربری بخواهد از این آسیب‌پذیری بهره‌برداری کند باید دارای مجوز “access contextual links” باشد و در نتیجه خطر این آسیب‌پذیری کاهش می‌یابد.

 

راه حل

Drupal Core را به جدیدترین نسخه به‌روز کنید:

Drupal 7.x   à  7.60
Drupal 8.6.x  à  8.6.2
Drupal 8.5.x یا ماقبل  à  8.5.8

منبع

کلمات کلیدی