آسیب‌پذیری‌ای در سیستم مدیریت محتوای دروپال (Drupal) کشف شده است که باعث اجرای کد دلخواه PHP می‌شود. این آسیب‌پذیری که با شناسه CVE-2019-6340 شناخته می‌شود، در سیستم امتیازدهی دروپال امتیاز 21 از 25 را به خود اختصاص داده و در نتیجه در رده بسیار بحرانی (Highly Critical) قرار می‌گیرد.

علت وجود این آسیب‌پذیری این است که بعضی داده‌ها که از منبعی غیر از فرم‌ها وارد می‌شوند، به درستی پاکسازی (sanitize) نمی‌شوند. این نقص در صورتی سیستم شما را تحت تاثیر قرار می‌دهد که:

• سایت از Drupal 8 استفاده کند و ماژول RESTful Web Service آن فعال باشد.

یا:

• یک ماژول سرویس وب دیگر فعال باشد و یا کدی سفارشی‌ای در سایت موجود باشد که اجازه می‌دهد موجودیت‌ها از منبعی غیر از فرم‌ها به‌روزرسانی شوند.

راه حل

برای مصون ماندن از این آسیب‌پذیری توصیه می‌شود:

•  از Drupal 8.6.x استفاده می‌کنید آن را به نسخه 8.6.10 ارتقاء دهید.
• اگر از Drupal 8.5.x یا ماقبل آن استفاده می‌کنید، آن را به نسخه 8.5.11 ارتقاء دهید.
• همچنین به‌روزرسانی‌های مربوط به پروژه‌های شخص ثالث (contributed project) را نیز نصب کنید.

منبع: دروپال