لزوم نصب آخرین نسخه‌ی دروپال برای ممانعت از آسیب‌‌پذیری

به گزارش سیتنا، مرکز ماهر اعلام کرد: این آسیب‌پذیری ناشی از عدم فیلتر‌ (sanitize) دقیق نام فایل‌های آپلودی می‌باشد. این آسیب‌پذیری که با شناسه CVE-2020-13671 پیگیری می‌شود، بر اساس سیستم امتیاز دهی استاندارد NIST Common Misuse Scoring System در دسته‌بندی شدت اهمیت بحرانی قرار دارد.

برای رفع این آسیب‌‌پذیری کافی است آخرین نسخه دروپال نصب شود.
• اگر از نسخه‌های سری 9.0 از دروپال استفاده می‌کنید، سیستم مدیریت محتوای خود را به نسخه 9.8.0 از دروپال به‌روزرسانی کنید.
• اگر از نسخه‌های سری 8.9 از دروپال استفاده می‌کنید، سیستم مدیریت محتوای خود را به نسخه 8.9.9 از دروپال به‌روزرسانی کنید.
• اگر از نسخه‌ 8.8 از دروپال یا نسخه‌های قبل‌تر از این نسخه استفاده می‌کنید، سیستم مدیریت محتوای خود را به نسخه 8.8.11 از دروپال به‌روزرسانی کنید.
• اگر از نسخه‌های سری 7از دروپال استفاده می‌کنید، سیستم مدیریت محتوای خود را به نسخه7.74 به‌روزرسانی کنید.
نسخه‌های سری 8 از دروپال که پیش از انتشار نسخه‌های 8.8.x منتشرشده‌اند، منسوح شده هستند و تیم دروپال امنیت این نسخه‌ها از دروپال را پشتیبانی نمی‌کند. تیم دروپال همچنین توصیه کرده است تا تمام فایل‌هایی که پیش از به‌روزرسانی در سامانه آپلود شده‌اند با هدف شناسایی پسوند‌های مخرب بررسی شوند. به ویژه در جست‌و‌جوی فایل‌هایی با دو پسوند مانند filename.php.txt یا filename.html.gif باشید که شامل (_) در پسوند نباشند. در مواردی که فایل‌های آپلود شده دارای یک یا چند پسوند از پسوند‌های ذکر شده در ذیل باشد؛ لازم است، این فایل با دقت بیشتری بررسی شود.
• Phar
• phtml
• php
• pl
• py
• cgi
• asp
• js
• html
• htm
توجه کنید این لیست جامع نیست‌، بنابراین هر پسوند غیر مجازی با دقت بررسی شود.

انتهای پیام