آسیبپذیری Symfony در وبسایتهای دروپال
پشتیبانی سیستم مدیریت محتوای دروپال، با انتشار ویرایش ۸,۵.۶ این CMS، یک آسیبپذیری امنیتی (CVE-۲۰۱۸-۱۴۷۷۳) را برطرف کرده است. در توصیه امنیتی دروپال ذکر شده است که دروپال از کتابخانه Symfony استفاده میکند. کتابخانه Symfony یک بروزرسانی امنیتی را ارائه کرده است که دروپال را نیز تحت تاثیر قرار میدهد. این آسیبپذیری در کتابخانههای Zend Feed و Diactoros نیز وجود دارد که در هسته دروپال مورد استفاده قرار گرفتهاند، هرچند که هسته دروپال از قابلیت آسیبپذیر آن استفاده نمیکند.
در صورتی که یک وبسایت یا ماژول بطور مستقیم از Zend Feed و Diactoros استفاده میکند، اعمال بروزرسانی یا وصله برای آن الزامی است. مولفه Symfony HttpFoundation یک کتابخانه ثالث است که در هسته دروپال استفاده شده است. نقص موجود ویرایشهای ۸.x قبل از ۸,۵.۶ دروپال را تحت تاثیر قرار میدهد.
Symfony یک چارچوب برنامه وب است که توسط بسیاری از پروژهها استفاده میشود، از این رو آسیبپذیری CVE-۲۰۱۸-۱۴۷۷۳ به طور بالقوه میتواند برای تعداد زیادی از برنامههای وب خطراتی را ایجاد کند. این نقص بدلیل پشتیبانی Symfony از فرایندهای HTTP قدیمی و خطرناک به وجود آمده است. فرایند IIS قدیمی پشتیبانی شده توسط Symfony به کاربر اجازه میدهد تا مسیر درخواست شده در آدرس URL را از طریق X-Original-URL یا X-Rewrite-URL بازنویسی کند که باعث میشود کاربر بتواند در کشهای سطح بالا و وب سرورها محدودیتها را دور بزند. بروزرسانی منتشر شده پشتیبانی از فرایندهای X-Original-URL و X_REWRITE_URL را متوقف میکند. یک مهاجم از راه دور میتواند با ساختن مقادیر فرایند HTTP X-Original-URL یا X-Rewrite-URL از آسیبپذیری بهرهبرداری کند.
ویرایشهای ۲,۷.۴۹، ۲.۸.۴۴، ۳.۳.۱۸، ۳.۴.۱۴، ۴.۰.۱۴ و ۴.۱.۳ چارچوب Symfony نسبت به این نقص آسیبپذیر هستند. همانطور که اشاره شد، ایراد مشابه در کتابخانههای Zend Feed و Diactoros نیز وجود دارد.
• مدیران وبسایتهایی که بطور مستقیم از کتابخانههای Zend Feed و Diactoros استفاده میکنند باید هرچه سریعتر وصلههای منتشر شده را اعمال کنند.
• مدیران وبسایتهایی که مبتنی بر دروپال هستند نیز باید در اسرع وقت، قبل از بهرهبرداری هکرها از آسیبپذیری CVE-۲۰۱۸-۱۴۷۷۳، CMS خود را بروزرسانی کنند.
منبع:
https://securityaffairs.co/wordpress/۷۵۰۲۰/hacking/cve-۲۰۱۸-۱۴۷۷۳-symfony-flaw.html