Разработчики CMS-системы Drupal выпустили обновление 8.7.5, устраняющее критическую уязвимость, которую они охарактеризовали как «обход доступа». Согласно алерту Агентства кибербезопасности США (CISA), использование новой проблемы позволяет захватить контроль над сайтом.

Уязвимость, получившая идентификатор CVE-2019-6342, проявляется только в CMS последней сборки — 8.7.4, да и то лишь при включенном компоненте Workspaces. Этот модуль был добавлен в ядро Drupal год назад и пока проходит бета-тестирование.

Судя по краткому определению в бюллетене, эксплойт авторизации не потребует. Чтобы избавиться от неприятной проблемы, пользователи Drupal 8.7.4 должны перейти на сборку 8.7.5. Разработчики пишут, что для установки обновления администратору сайта придется вручную запустить скрипт update.php, иначе кэш не очистится. Тем, кто использует обратный прокси-сервер или сеть доставки контента, рекомендуется там тоже все как следует почистить. Если применение патча по каким-то причинам откладывается, можно в качестве временной меры отключить  Workspaces.

Охват новой проблемы вряд ли велик: сборка 8.7.4 CMS-системы вышла совсем недавно, 4 июля, и ее мало кто успел установить. В настоящее время Drupal версии 8 используют около 291 тыс. сайтов (по состоянию на 7 июля) — чуть больше четверти пользовательской базы Drupal. Тем не менее, всем участникам тестирования Workspaces нелишне будет уточнить версию CMS, на которой работают их сайты. Это можно сделать, заглянув в отчет о состоянии Drupal, файл CHANGELOG.txt или доступные обновления.

Категории: Уязвимости