Разработчики популярной системы управления контентом Drupal выпустили исправления для ряда уязвимостей, позволяющих злоумышленникам удаленно скомпрометировать сотни тысяч web-сайтов. Согласно уведомлению безопасности от разработчиков, все уязвимости связаны со сторонними библиотеками, включенными в версии Drupal 8.6, Drupal 8.5 или более ранние и Drupal 7.

Среди прочих было выпущено исправление для уязвимости в интегрированной с Drupal популярной JavaScript-библиотеке JQuery. Речь идет о prototype pollution – уязвимости, с помощью которой злоумышленник может модифицировать прототип объекта JavaScript.

Остальные три уязвимости были исправлены в компоненте Symfony PHP: межсайтовый скриптинг (CVE-2019-10909), удаленное выполнение кода (CVE-2019-10910) и обход аутентификации (CVE-2019-1091). Во избежание возможных атак рекомендуется:

Пользователям Drupal 8.6 обновиться до Drupal 8.6.15;

Пользователям Drupal 8.5 и более ранних версий обновиться до Drupal 8.5.15;

Пользователям Drupal 7 обновиться до Drupal 7.66.

Как показывает практика, киберпреступники не теряют времени и сразу берут уязвимости в Drupal на вооружение. К примеру, в прошлом году злоумышленники взломали множество сайтов на Drupal через уязвимости Drupalgeddon2 и Drupalgeddon3 и использовали их для распространения вредоносного ПО, майнеров криптовалюты и пр.

Источник: securitylab.ru