Af Eskil Sørensen, 14/06/22
Drupals sikkerhedsteam har udgivet en advisory for at gøre opmærksom på alvorlige sårbarheder i et tredjepartsbibliotek til Drupal. Advisorien advarer om, at angribere udnytte fejlene til at overtage Drupal-drevne websteder.
Det skriver Securiy Week.
Sårbarhederne har id-numrene CVE-2022-31042 og CVE-2022-31043 og er blevet fundet og rettet i Guzzle. Guzzle er et tredjepartsbibliotek, som Drupal bruger til at håndtere HTTP-anmodninger og svar på eksterne tjenester.
Ifølge advisorien påvirker fejlene ikke selve Drupal-kernen, men kan påvirke kode på Drupal-websteder, hvorigennem kapringen kan finde sted.
Security Week skriver, at Guzzle har offentliggjort information om sårbarhederne, som vurderes til at være ’høj-risiko’, eftersom udnyttelse kan give en ekstern angriber mulighed for at overtage et websted, der er påvirket af sårbarhederne.
Drupals sikkerhedsteam anbefaler sine brugere at installere de nyeste versioner (Drupal 9.2 til Drupal 9.4) og bemærker, at alle versioner af Drupal 9 før 9.2.x har nået end-of-life og således ikke modtager opdateringere længere.
Links:
https://www.drupal.org/sa-core-2022-011
https://www.securityweek.com/drupal-patches-high-risk-third-party-library-flaws