Drupal

Drupal har udgivet en sikkerhedsrettelse som adresserer en ’access bypass’-sårbarhed, som påvirker flere Drupal-versioner. En hacker kan udnytte denne sårbarhed til at tage kontrol over et sårbart system.

De berørte systemer er Drupal 10.0, Drupal 9.5, Drupal 9.4 og Drupal 7. Alle versioner af Drupal 9 før version 9.4.x er "end-of-life" og opdateres således ikke. Hele Drupal 8 har ligeledes opnået "end of life".

Drupal har udsendt en advisory til håndtering af en access bypass-sårbarhed, som påvirker en række versioner af Drupal. Dette fremgår af Drupals hjemmeside, som også er refereret af CISA.

Den anses for at være ’moderat kritisk’ og handler om at et evt. vellykket cross site scriptingangreb kan skabe indblik i en phpinfo-side. Informationerne her kan i givet fald anvendes til at eskalere angrebet, skriver Drupal i sin advisory.  

Drupal har i sidste uge udsendt softwareopdateringer, der retter fire sårbarheder i Drupal-kernen og tre plugins. Det skriver Security Week.

De vigtigste påvirker mediebiblioteket og gør det muligt for brugere uden de nødvendige tilladelser at se forskellige medieelementer og metadata om medieelementerne.

Problemerne er blevet løst med udgivelsen af Drupal version 10.0.2, 9.5.2 og 9.4.10, Media Library Form API Element version 2.0.6, Media Library Block version 1.0.4 og Entity Browser version 8.x-2.9.

Drupal har frigivet sikkerhedsopdateringer til håndtering af sårbarheder i H5P og fil-(Field)-stimodulerne til Drupal 7.x. En angriber kan udnytte disse sårbarheder til at få adgang til følsomme oplysninger og afvikle kode udefra, dvs. der er risiko for remote code execution.

Det fremgår af advisories fra Drupal.

HSP-modulet giver mulighed for at skabe interaktivt indhold, mens Fil (Field) Paths-modulet udvider standardfunktionaliteten af ​​Drupals kernefilmodul ved at tilføje muligheden for at bruge enhedsbaserede tokens i destinationsstier og filnavne.

Modulet Media oEmbed indeholder i funktionen iframe-route fejl i valideringen, således at iframe-domæneindstillingen gør det muligt, at vise indlejringer i konteksten af ​​det primære domæne, som under visse omstændigheder kan føre til cross-site scripting, lækkede cookies eller andre sårbarheder.

Hvis man anvender nogle af de berørte versioner (se nedenfor), anbefales det at installere den seneste version:

Drupals sikkerhedsteam har udgivet en advisory for at gøre opmærksom på alvorlige sårbarheder i et tredjepartsbibliotek til Drupal. Advisorien advarer om, at angribere udnytte fejlene til at overtage Drupal-drevne websteder.

Det skriver Securiy Week.

Sårbarhederne har id-numrene CVE-2022-31042 og CVE-2022-31043 og er blevet fundet og rettet i Guzzle. Guzzle er et tredjepartsbibliotek, som Drupal bruger til at håndtere HTTP-anmodninger og svar på eksterne tjenester.

Content management systemet Drupal har fået nye sikkerhedsopdateringer, der adresserer sårbarheder i Drupal 9.2 og 9.3. En angriber kan potentielt udnytte nogle af sårbarhederne til overtage kontrollen med et system. Det skriver CISA i en meddelelse.

Drupal anbefaler, at man skal opdatere til

Content management systemet Drupal har fået nye sikkerhedsopdateringer, der adresserer sårbarheder i Drupal 9.2 og 9.3. En angriber kan potentielt udnytte nogle af sårbarhederne til overtage kontrollen med et system. Det skriver CISA i en meddelelse.

Drupal anbefaler, at man skal opdatere til følgende

Drupals API har en sårbarhed, hvor visse tilpassede moduler kan være sårbare over for forkert inputvalidering. Dette kan give en hacker mulighed for at injicere ikke-tilladte værdier eller overskrive data. I visse tilfælde kan en angriber ændre kritiske eller følsomme data.

Content management systemet Drupal har fået nye sikkerhedsopdateringer, der adresserer sårbarheder i Drupal 7, 9.2 og 9.3. Det skriver CISA i en meddelelse med henvisning til Drupas advisories. En angriber kan potentielt udnytte nogle af sårbarhederne til overtage kontrollen med et system.

Drupal anbefaler, at man skal opdatere til følgende