به گزارش روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛در وصله جدید سیستم مدیریت محتوای Drupal یک جفت ماژول بهروز رسانی شدند تا آسیبپذیریهایی که در این سیستم به مهاجمان اجازه میداد به سیستم کاربران نفوذ و بدون آگاهی آنها فرامین دلخواه خود را اعمال کنند برطرف شود.
یکی از این ماژولها ماژول توییتر است که به کاربران امکان میدهد فرامین گوناگونی را اجرا کنند، نظیر تعیین اعتبار پیامهای عمومی در توییتر. این آسیبپذیری بهعنوان یک نقص امنیتی نسبتا جدی فهرست شده بود، چرا که مهاجمان برای نفوذ به سیستمها هدف به چند Permission نیاز داشتند.
Drupal در بیانیهای نوشت: «این ماژول هنگام استفاده از سابماژول Twitter Post برای ارسال پیام در این شبکه اجتماعی به درستی وضعیت دسترسی را چک نمیکند بلکه اجازه میدهد یک توییت نه فقط از سوی اکانت اصلی کاربر، بلکه از طرف هر اکانت تایید صلاحیتشدهای منتشر شود.
«همچنین این ماژول در فهرست کردن دیگر اکانتهای توییتر کاربر عملکرد صحیحی نداشته و به هر کابری امکان میدهد تنظیمات مربوط به هر اکانتی را تغییر داده و حتی اکانتهای توییتر وابسته را حذف کند.»
اما نقص امنیتی در ماژول دوم که RESTful API نام دارد بهگونهای است که کدهای سرور دروپال را از طریق رابط کاربردی برنامهنویسی یا همان API در معرض دسترس مهاجمان و خرابکاران قرار میدهد. این آسیبپذیری در نسخههای 7.x-1.x وجود دارد.
این آسیبپذیری خود سیستم Drupal را تحت تاثیر قرار نمیدهد و تنها به ماژولهای آن مربوط میشود.
منبع: کسپرسکی آنلاین
* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.
