حان الوقت لتحديث مواقع دروبال الخاصة بك ، مرة أخرى.
للمرة الثانية في غضون شهر ، تم العثور على دروبال عرضة لضعف حرج آخر قد يسمح للمهاجمين عن بعد بالانسحاب من الهجمات المتقدمة بما في ذلك سرقة ملفات تعريف الارتباط ، وتضليل المفاتيح ، والتصيد وسرقة الهوية.
تم اكتشافه من قِبل فريق الأمن في دروبال ، إطار إدارة المحتوى المفتوح المصدر عرضة لنقطة ضعف البرمجة النصية للمواقع المشتركة (XSS) التي تتواجد في ملحق CKEditor من طرف ثالث والذي يأتي مدمجًا مسبقًا في مركز دروبال لمساعدة مديري المواقع والمستخدمين على إنشاء محتوى تفاعلي .
CKEditor هو محرر نصوص غني WYSIWYG مبني على جافا سكريبت والذي تستخدمه العديد من المواقع ، كما أنه مثبت مسبقًا مع بعض مشاريع الويب الشائعة.
ووفقًا لاستشارة أمنية أصدرها CKEditor ، فإن ثغرة XSS تنبع من التحقق غير الصحيح من علامة " img " في المكوّن الإضافي المحسّن للصور لـ CKEditor 4.5.11 والإصدارات الأحدث.
قد يسمح هذا للمهاجم بتنفيذ تعليمات HTML البرمجية و JavaScript التعسفي في مستعرض الضحية والوصول إلى المعلومات الحساسة.
تم تقديم أداة تحسين الصورة الإضافية في CKEditor 4.3 وتدعم طريقة متقدمة لإدراج الصور في المحتوى باستخدام محرر.
وقال فريق دروبال للامن "ان الثغرة نجمت عن حقيقة انه كان من الممكن تنفيذ XSS داخل CKEditor عند استخدام البرنامج المساعد image2 (الذي يستخدمه دروبال 8 النواة ايضا)" .
قام CKEditor بتصحيح الثغرة الأمنية مع إصدار CKEditor الإصدار 4.9.2 ، والذي تم تصحيحه أيضًا في CMS من قبل فريق Drupal للأمن مع إصدار Drupal الإصدار 8.5.2 و Drupal 8.4.7.
نظرًا لأن المكون الإضافي لـ CKEditor في الإصدار 7.x من Drupal تم تكوينه ليتم تحميله من خوادم CDN ، فإنه لا يتأثر بالخلل.
ومع ذلك ، إذا قمت بتثبيت المكون الإضافي CKEditor يدويًا ، ننصحك بتنزيل البرنامج الإضافي وترقيته إلى أحدث إصدار من موقعه الرسمي على الويب.
قام دروبال مؤخراً بتصحيح ثغرة حرجة أخرى ، أطلق عليها اسم Drupalgeddon2 ، وهي علة تنفيذ تعليمات برمجية عن بعد تسمح لمهاجم بعيد غير مصادق بتنفيذ تعليمات برمجية ضارة على الإعدادات الافتراضية أو المشتركة لدروبال تحت امتيازات المستخدم ، مما يؤثر على جميع إصدارات دروبال من 6 إلى 8.
ومع ذلك نظرًا لكسر الناس في ترميم أنظمتهم ومواقع الويب في الوقت المناسب ، تم العثور على ثغرة Drupalgeddon2 التي يستغلها المتسللون في البريةتقديم عمال التعدين من نوع cryptocurrency و backdoors والبرامج الضارة الأخرى.
لذلك ، يوصى بشدة على المستخدمين أن يأخذوا النصائح الأمنية على محمل الجد ويحافظوا على أنظمتهم وبرامجهم محدثة لتجنب وقوع ضحايا لأي هجوم سيبراني.