به گزارش گروه علم و فناوری ایسکانیوز، با توجه به گزارشی که توسط توسعه‌دهندگان دروپال منتشر شد، تمام آسیب‌پذیری‌های امنیتی دروپال در ماه جاری در کتابخانه‌های شخص ثالث و در دروپال نسخه‌ 8.6، 8.5 و یا قدیمی‌تر و نسخه‌ ۷ قرار دارند.

یکی از این نقص‌های امنیتی، یک نقص XSS است که در یک افزونه‌ی شخص ثالث به نام JQuery قرار دارد. این افزونه که محبوب‌ترین کتابخانه‌ی جاوا اسکریپت است و توسط میلیون‌ها وب‌سایت استفاده می‌شود، در هسته‌ی دروپال به‌عنوان پیش‌فرض قرار دارد.

JQuery نسخه‌ 3.4.0 را منتشر کرد تا آسیب‌پذیری گزارش‌شده را که هنوز شماره‌ CVE به آن اختصاص نیافته است و بر تمامی نسخه‌های قبلی این کتابخانه تأثیر می‌گذارد، وصله کند.

jQuery 3.4.0 شامل اصلاحاتی برای رفع برخی رفتارهای ناخواسته هنگام استفاده از "(jQuery.extend(true,{},…" است. اگر یک شیء منبع، حاوی یک "proto_property" باشد، می‌تواند "Object.prototype" اصلی را گسترش دهد.

ممکن است این آسیب‌پذیری با برخی از ماژول‌های دروپال قابل بهره‌برداری باشد.

سه آسیب‌پذیری امنیتی دیگر، در مؤلفه‌های PHP Symfony که توسط دروپال هسته استفاده می‌شوند، قرار دارند. این نقص‌ها عبارتند از:
• نقص اجرای کد دلخواه با شناسه‌ی "CVE-2019-10910"
• حملات دورزدن احراز هویت با شناسه‌ی "CVE-2019-10911"
• نقص تزریق اسکریپت مخرب (XSS) با شناسه‌ی "CVE-2019-10909"

باتوجه به محبوبیت سوءاستفاده از دروپال در میان هکرها، به شدت توصیه می‌شود که آخرین به‌روزرسانی این سیستم مدیریت محتوا در اسرع وقت نصب شوند.

کاربرانی که از دروپال 8.6 استفاده می‌کنند، باید آن‌را به دروپال 8.6.15 به‌روزرسانی کنند. کاربرانی که از دروپال 8.5 یا قبل از آن استفاده می‌کنند، به دروپال 8.5.15 به‌روزرسانی کنند و کاربرانی که از دروپال 7 استفاده می‌کنند، به دروپال 7.6.6 به‌روزرسانی کنند.

انتهای پیام/