آسیب‌پذیری Symfony در وبسایت‌های دروپال

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره غیر فعال
 

آسیب‌پذیری Symfony در وبسایت‌های دروپال

q805

پشتیبانی سیستم مدیریت محتوای دروپال، با انتشار ویرایش ۸,۵.۶ این CMS، یک آسیب‌پذیری امنیتی (CVE-۲۰۱۸-۱۴۷۷۳) را برطرف کرده است. در توصیه امنیتی دروپال ذکر شده است که دروپال از کتابخانه Symfony استفاده می‌کند. کتابخانه Symfony یک بروزرسانی امنیتی را ارائه کرده است که دروپال را نیز تحت تاثیر قرار می‌دهد. این آسیب‌پذیری در کتابخانه‌های Zend Feed و Diactoros نیز وجود دارد که در هسته دروپال مورد استفاده قرار گرفته‌اند، هرچند که هسته دروپال از قابلیت آسیب‌پذیر آن استفاده نمی‌کند.
در صورتی که یک وبسایت یا ماژول بطور مستقیم از Zend Feed و Diactoros استفاده می‌کند، اعمال بروزرسانی یا وصله برای آن الزامی است. مولفه Symfony HttpFoundation یک کتابخانه ثالث است که در هسته دروپال استفاده شده است. نقص موجود ویرایش‌های ۸.x قبل از ۸,۵.۶ دروپال را تحت تاثیر قرار می‌دهد.
Symfony یک چارچوب برنامه وب است که توسط بسیاری از پروژه‌ها استفاده می‌شود، از این رو آسیب‌پذیری CVE-۲۰۱۸-۱۴۷۷۳ به طور بالقوه می‌تواند برای تعداد زیادی از برنامه‌های وب خطراتی را ایجاد کند. این نقص بدلیل پشتیبانی Symfony از فرایندهای HTTP قدیمی و خطرناک به وجود آمده است. فرایند IIS قدیمی پشتیبانی شده توسط Symfony به کاربر اجازه می‌دهد تا مسیر درخواست شده در آدرس URL را از طریق X-Original-URL یا X-Rewrite-URL بازنویسی کند که باعث می‌شود کاربر بتواند در کش‌های سطح بالا و وب سرورها محدودیت‌ها را دور بزند. بروزرسانی منتشر شده پشتیبانی از فرایندهای X-Original-URL و X_REWRITE_URL را متوقف می‌کند. یک مهاجم از راه دور می‌تواند با ساختن مقادیر فرایند HTTP X-Original-URL یا X-Rewrite-URL از آسیب‌پذیری بهره‌برداری کند.
ویرایش‌های ۲,۷.۴۹، ۲.۸.۴۴، ۳.۳.۱۸، ۳.۴.۱۴، ۴.۰.۱۴ و ۴.۱.۳ چارچوب Symfony نسبت به این نقص آسیب‌پذیر هستند. همانطور که اشاره شد، ایراد مشابه در کتابخانه‌های Zend Feed و Diactoros نیز وجود دارد.
• مدیران وبسایت‌هایی که بطور مستقیم از کتابخانه‌های Zend Feed و Diactoros استفاده می‌کنند باید هرچه سریع‌تر وصله‌های منتشر شده را اعمال کنند.
• مدیران وبسایت‌هایی که مبتنی بر دروپال هستند نیز باید در اسرع وقت، قبل از بهره‌برداری هکرها از آسیب‌پذیری CVE-۲۰۱۸-۱۴۷۷۳، CMS خود را بروزرسانی کنند.

منبع:

https://securityaffairs.co/wordpress/۷۵۰۲۰/hacking/cve-۲۰۱۸-۱۴۷۷۳-symfony-flaw.html