به گزارش سافت گذر به نقل ازروابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در
ایران)؛ در وصله جدید سیستم مدیریت محتوای Drupal یک جفت ماژول بهروز
رسانی شدند تا آسیبپذیریهایی که در این سیستم به مهاجمان اجازه میداد به
سیستم کاربران نفوذ و بدون آگاهی آنها فرامین دلخواه خود را اعمال کنند
برطرف شود.
یکی از این ماژولها ماژول توییتر است که به کاربران
امکان میدهد فرامین گوناگونی را اجرا کنند، نظیر تعیین اعتبار پیامهای
عمومی در توییتر. این آسیبپذیری بهعنوان یک نقص امنیتی نسبتا جدی فهرست
شده بود، چرا که مهاجمان برای نفوذ به سیستمها هدف به چند Permission نیاز
داشتند.
Drupal در بیانیهای نوشت: «این ماژول هنگام استفاده از
سابماژول Twitter Post برای ارسال پیام در این شبکه اجتماعی به درستی
وضعیت دسترسی را چک نمیکند بلکه اجازه میدهد یک توییت نه فقط از سوی
اکانت اصلی کاربر، بلکه از طرف هر اکانت تایید صلاحیتشدهای منتشر شود.
«همچنین
این ماژول در فهرست کردن دیگر اکانتهای توییتر کاربر عملکرد صحیحی نداشته
و به هر کابری امکان میدهد تنظیمات مربوط به هر اکانتی را تغییر داده و
حتی اکانتهای توییتر وابسته را حذف کند.»
اما نقص امنیتی در ماژول
دوم که RESTful API نام دارد بهگونهای است که کدهای سرور دروپال را از
طریق رابط کاربردی برنامهنویسی یا همان API در معرض دسترس مهاجمان و
خرابکاران قرار میدهد. این آسیبپذیری در نسخههای ۷.x-۱.x وجود دارد.
این آسیبپذیری خود سیستم Drupal را تحت تاثیر قرار نمیدهد و تنها به ماژولهای آن مربوط میشود.