دروپال بهروزرسانی امنیتی را برای رفع آسیبپذیری اجرای کد از راه دور منتشر کرده است. این آسیبپذیری ناشی از عدم فیلتر(sanitize) دقیق نام فایلهای آپلودی میباشد. این آسیبپذیری که با شناسه CVE-2020-13671 پیگیری میشود، بر اساس سیستم امتیاز دهی استاندارد NIST Common Misuse Scoring System در دستهبندی شدت اهمیت بحرانی قرار دارد.
برای رفع این آسیبپذیری آخرین نسخه دروپال نصب را نصب کنید.
• اگر از نسخههای سری 9.0 از دروپال استفاده میکنید، سیستم مدیریت محتوای خود را به نسخه 9.8.0 بهروزرسانی کنید.
• اگر از نسخههای سری 8.9 از دروپال استفاده میکنید، سیستم مدیریت محتوای خود را به نسخه 8.9.9 بهروزرسانی کنید.
• اگر از نسخههای 8.8 و قبلتر از این نسخه استفاده میکنید، سیستم مدیریت محتوای خود را به نسخه 8.8.11 بهروزرسانی کنید.
• اگر از نسخههای سری 7 استفاده میکنید، سیستم مدیریت محتوای خود را به نسخه 7.74 بهروزرسانی کنید.
نسخههای سری 8 از دروپال که پیش از انتشار نسخههای 8.8.x منتشرشدهاند، منسوخ شده و تیم دروپال امنیت این نسخهها را پشتیبانی نمیکند.
همچنین توصیه میشود تمام فایلهایی که پیش از بهروزرسانی آپلود شدهاند با هدف شناسایی پسوندهای مخرب بررسی شوند. به ویژه در جستجوی فایلهایی با دو پسوند مانند filename.php.txt یا filename.html.gif مواظب باشید که شامل (_) در پسوند نباشند.
فایلهای آپلود شده دارای یک یا چند پسوند از پسوندهای ذیل لازم است با دقت بیشتری بررسی شوند:
• Phar
• phtml
• php
• pl
• py
• cgi
• asp
• js
• html
• htm
برای اطمینان بیشتر، هر پسوند غیر مجاز و مشکوک که شامل لیست بالا نیز نمیشود را با دقت بررسی کنید.
اطلاعات بیشتر:
برای رفع این آسیبپذیری آخرین نسخه دروپال نصب را نصب کنید.
• اگر از نسخههای سری 9.0 از دروپال استفاده میکنید، سیستم مدیریت محتوای خود را به نسخه 9.8.0 بهروزرسانی کنید.
• اگر از نسخههای سری 8.9 از دروپال استفاده میکنید، سیستم مدیریت محتوای خود را به نسخه 8.9.9 بهروزرسانی کنید.
• اگر از نسخههای 8.8 و قبلتر از این نسخه استفاده میکنید، سیستم مدیریت محتوای خود را به نسخه 8.8.11 بهروزرسانی کنید.
• اگر از نسخههای سری 7 استفاده میکنید، سیستم مدیریت محتوای خود را به نسخه 7.74 بهروزرسانی کنید.
نسخههای سری 8 از دروپال که پیش از انتشار نسخههای 8.8.x منتشرشدهاند، منسوخ شده و تیم دروپال امنیت این نسخهها را پشتیبانی نمیکند.
همچنین توصیه میشود تمام فایلهایی که پیش از بهروزرسانی آپلود شدهاند با هدف شناسایی پسوندهای مخرب بررسی شوند. به ویژه در جستجوی فایلهایی با دو پسوند مانند filename.php.txt یا filename.html.gif مواظب باشید که شامل (_) در پسوند نباشند.
فایلهای آپلود شده دارای یک یا چند پسوند از پسوندهای ذیل لازم است با دقت بیشتری بررسی شوند:
• Phar
• phtml
• php
• pl
• py
• cgi
• asp
• js
• html
• htm
برای اطمینان بیشتر، هر پسوند غیر مجاز و مشکوک که شامل لیست بالا نیز نمیشود را با دقت بررسی کنید.
اطلاعات بیشتر: