Af Eskil Sørensen, 06/10/22
CMS’et Drupal har adresseret en alvorlig sårbarhed i skabelonmotorern ’Twig’, der kan føre til læk af følsomme oplysninger. Det skriver Security Week.
Drupal er et PHP-baseret open source CMS, der har brugt Twig som sin standard skabelonmotor siden Drupal 8, som blev udgivet i november 2015.
Sårbarheden har id’et CVE-2022-39261 og kan muliggøre, at en angriber indlæser skabeloner uden for en konfigureret mappe via filsystemindlæseren. Sandsynligheden for udnyttelse af fejlens minimeres af, at et evt. angreb kræver administrative rettigheder. Det bemærkes dog, at hvis der allerede er installeret tilpasset kode, der gør det muligt for brugere at skrive Twig-skabeloner, så kan der ske anden form for udnyttelser.
Fejlen har betegnelsen ’kritisk’ i Drupals eget scoringssystem.
Drupal har rettet fejlen med udgivelsen af Drupal 9.4.7, som erstatter Drupal 9.4 og Drupal 9.3.22, der erstatter Drupal 9.3. End-of-life versioner før Drupal 9.3 ikke vil modtage en patch. Drupal 7's kerneudgivelser er ikke påvirket, da de ikke inkluderer Twig. Opdateringsvejledning kan findes på Drupals webside.
Links:
https://www.drupal.org/sa-core-2022-016
https://www.securityweek.com/drupal-updates-patch-vulnerability-twig-template-engine