ايتنا - وصله شدن دو ماژول Drupal برای جلوگیری از دسترسی غیرمجاز

به گزارش ایتنا از روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ در وصله جدید سیستم مدیریت محتوای Drupal یک جفت ماژول به‌روز رسانی شدند تا آسیب‌پذیری‌هایی که در این سیستم به مهاجمان اجازه می‌داد به سیستم کاربران نفوذ و بدون آگاهی آنها فرامین دلخواه خود را اعمال کنند برطرف شود.

یکی از این ماژول‌ها ماژول توییتر است که به کاربران امکان می‌دهد فرامین گوناگونی را اجرا کنند، نظیر تعیین اعتبار پیام‌های عمومی در توییتر. این آسیب‌پذیری به‌عنوان یک نقص امنیتی نسبتا جدی فهرست شده بود، چرا که مهاجمان برای نفوذ به سیستم‌ها هدف به چند Permission نیاز داشتند.

Drupal در بیانیه‌ای نوشت: «این ماژول هنگام استفاده از ساب‌ماژول Twitter Post برای ارسال پیام در این شبکه اجتماعی به درستی وضعیت دسترسی را چک نمی‌کند بلکه اجازه می‌دهد یک توییت نه فقط از سوی اکانت اصلی کاربر، بلکه از طرف هر اکانت تایید صلاحیت‌شده‌ای منتشر شود.
«همچنین این ماژول در فهرست کردن دیگر اکانت‌های توییتر کاربر عملکرد صحیحی نداشته و به هر کابری امکان می‌دهد تنظیمات مربوط به هر اکانتی را تغییر داده و حتی اکانت‌های توییتر وابسته را حذف کند.»

اما نقص امنیتی در ماژول دوم که RESTful API نام دارد به‌گونه‌ای است که کدهای سرور دروپال را از طریق رابط کاربردی برنامه‌نویسی یا همان API در معرض دسترس مهاجمان و خرابکاران قرار می‌دهد. این آسیب‌پذیری در نسخه‌های ۷.x-۱.x وجود دارد.
این آسیب‌پذیری خود سیستم Drupal را تحت تاثیر قرار نمی‌دهد و تنها به ماژول‌های آن مربوط می‌شود.