Разработчики Drupal закрыли три уязвимости в ядре CMS-системы с помощью корректирующих выпусков 8.3.4 и 7.56. Как сказано в информационном бюллетене, одна брешь расценивается как критическая, другая уже используется в дикой природе.

Согласно бюллетеню, критическая уязвимость вызвана некорректной работой парсера PECL, с помощью которого Drupal 8 разбирает данные в формате YAML. Этот парсер обрабатывал PHP-объекты небезопасным образом, открывая возможность для удаленного выполнения кода.

Вторая, менее опасная уязвимость, также привязанная к Drupal 8, возникла из-за того, что REST-ресурс file не обеспечивал адекватную валидацию некоторых полей в ходе манипуляций с файлами. Данная брешь актуальна лишь для тех сайтов, на которых этот ресурс активирован и разрешены запросы PATCH. В этом случае злоумышленник сможет зарегистрировать аккаунт пользователя с правами на загрузку файлов и модификацию ресурса file.

Третий баг свойственен как Drupal 8, так и Drupal 7; он уже используется itw спамерами. Данная проблема, оцененная как умеренно опасная, по сути заключается в обходе прав доступа. «Личные файлы, загруженные анонимным пользователем и не связанные неразрывно с контентом сайта, должны быть видны лишь анониму, их загрузившему, а не всем анонимным пользователям, – сказано в бюллетене. – Ядро Drupal ранее такой защиты не предоставляло». Эта уязвимость затрагивает лишь те сайты, которые позволяют анонимно загружать приватные файлы.

Это первое обновление Drupal с апреля, когда в ядре этой CMS-системы был устранен аналогичный баг обхода доступа. Он, как и в данном случае, был опасен для сайтов с включенным модулем RESTful Web Services и разрешенными запросами PATCH.

Категории: Уязвимости