Уязвимости в Drupal позволяют удаленно скомпрометировать сотни тысяч сайтов
Разработчики Drupal исправили ряд уязвимостей, в том числе prototype pollution в JavaScript-библиотеке JQuery.
Разработчики популярной системы управления контентом Drupal выпустили исправления для ряда уязвимостей, позволяющих злоумышленникам удаленно скомпрометировать сотни тысяч web-сайтов. Согласно уведомлению безопасности от разработчиков, все уязвимости связаны со сторонними библиотеками, включенными в версии Drupal 8.6, Drupal 8.5 или более ранние и Drupal 7.
Среди прочих было выпущено исправление для уязвимости в интегрированной с Drupal популярной JavaScript-библиотеке JQuery. Речь идет о prototype pollution – уязвимости, с помощью которой злоумышленник может модифицировать прототип объекта JavaScript.
Остальные три уязвимости были исправлены в компоненте Symfony PHP: межсайтовый скриптинг (CVE-2019-10909), удаленное выполнение кода (CVE-2019-10910) и обход аутентификации (CVE-2019-1091). Во избежание возможных атак рекомендуется:
Пользователям Drupal 8.6 обновиться до Drupal 8.6.15;
Пользователям Drupal 8.5 и более ранних версий обновиться до Drupal 8.5.15;
Пользователям Drupal 7 обновиться до Drupal 7.66.
Как показывает практика, киберпреступники не теряют времени и сразу берут уязвимости в Drupal на вооружение. К примеру, в прошлом году злоумышленники взломали множество сайтов на Drupal через уязвимости Drupalgeddon2 и Drupalgeddon3 и использовали их для распространения вредоносного ПО, майнеров криптовалюты и пр.
Домашний Wi-Fi – ваша крепость или картонный домик?