دروپال برای رفع آسیبپذیری حیاتی با اکسپلویت شناخته شده که امکان اجرای کد PHP در برخی از نسخههای CMS را فراهم میکند، به روزرسانیهای امنیتی اضطراری منتشر کرده است.
در حال حاضر بیش از 944،000 وبسایت آسیبپذیر از مجموع 1،120،941 از نسخه آسیبپذیر استفاده میکنند، دروپال میگوید این آمار ناقص بوده و فقط سایتهایی که از ماژول «وضعیت آپدیت» استفاده میکنند در این آمار گنجانده شدهاند.
دروپال همچنین توسط 2.5٪ از کل وب سایتهای دارای سیستم مدیریت محتوا مورد استفاده قرار میگیرد و پس از وردپرس (63.8٪)، (Shopify (5.1٪ و جوملا (3.6٪) آنرا به چهارمین CMS محبوب در اینترنت تبدیل میکند.
براساس گفتههای مشاور امنیتی دروپال این آسیبپذیری ناشی از دو اشکال در کتابخانه PEAR Archive_Tar است که با عنوان CVE-2020-28948 و CVE-2020-28949 پیگیری میشوند.
در صورت پیکربندی CMS برای اجازه و پردازش بارگذاری پروندههای .tar ، .tar.gz ، .bz2 یا .tlz، میتوان از این آسیبپذیری مهم اجرای کد در دروپال استفاده کرد.
دروپال توصیه می کند به روزرسانی های زیر را بر روی سرورهای آسیبدیده نصب کنید:
امروز آژانس امنیت سایبری و زیرساختهای وزارت امنیت داخلی (CISA) آمریکا نیز با صدور هشدار از مدیران و کاربران خواست تا نسخههای آسیبپذیر را برای دریافت وصله امنیتی دروپال ارتقا دهند.
در حال حاضر بیش از 944،000 وبسایت آسیبپذیر از مجموع 1،120،941 از نسخه آسیبپذیر استفاده میکنند، دروپال میگوید این آمار ناقص بوده و فقط سایتهایی که از ماژول «وضعیت آپدیت» استفاده میکنند در این آمار گنجانده شدهاند.
دروپال همچنین توسط 2.5٪ از کل وب سایتهای دارای سیستم مدیریت محتوا مورد استفاده قرار میگیرد و پس از وردپرس (63.8٪)، (Shopify (5.1٪ و جوملا (3.6٪) آنرا به چهارمین CMS محبوب در اینترنت تبدیل میکند.
براساس گفتههای مشاور امنیتی دروپال این آسیبپذیری ناشی از دو اشکال در کتابخانه PEAR Archive_Tar است که با عنوان CVE-2020-28948 و CVE-2020-28949 پیگیری میشوند.
در صورت پیکربندی CMS برای اجازه و پردازش بارگذاری پروندههای .tar ، .tar.gz ، .bz2 یا .tlz، میتوان از این آسیبپذیری مهم اجرای کد در دروپال استفاده کرد.
دروپال توصیه می کند به روزرسانی های زیر را بر روی سرورهای آسیبدیده نصب کنید:
- Drupal 9.0 بروزرسانی به نسخه Drupal 9.0.9
- Drupal 8.9 بروزرسانی به نسخه Drupal 8.9.10
- Drupal 8.8 و نسخههای قبلتر بروزرسانی به نسخه Drupal 8.8.12
- Drupal 7 بروزرسانی به نسخه Drupal 7.75
امروز آژانس امنیت سایبری و زیرساختهای وزارت امنیت داخلی (CISA) آمریکا نیز با صدور هشدار از مدیران و کاربران خواست تا نسخههای آسیبپذیر را برای دریافت وصله امنیتی دروپال ارتقا دهند.