Er zijn updates verschenen voor versies 7, 8.5 en 8.6 van Drupal, die diverse kwetsbaarheden moeten verhelpen. Drupal is een in PHP geschreven, gebruiksvriendelijk en krachtig contentmanagementplatform, waarmee bijvoorbeeld websites kunnen worden gemaakt. Het is eenvoudig genoeg voor beginners, maar ook krachtig genoeg om complexere website mee te bouwen.
Rechtstreekse links
Download Drupal versie 7.60: https://www.drupal.org/project/drupal/releases/7.60
Download Drupal versie 8.5.8: https://www.drupal.org/project/drupal/releases/8.5.8
Download Drupal versie 8.6.2: https://www.drupal.org/project/drupal/releases/8.6.2
ADVIES! Het is raadzaam om direct te updaten naar de nieuwste versies van Drupal.
TIP! Maak van te voren een handmatige back-up van uw databases en websites, voordat u bijwerkt naar de nieuwste versie van Drupal.
Het programma bevat een contentmanagementplatform en een development-framework. Hieronder zijn de kwetsbaarheden te vinden die in Advisory SA-CORE-2018-006 zijn verholpen.
Content moderation – Moderately critical – Access bypass – Drupal 8
In some conditions, content moderation fails to check a users access to use certain transitions, leading to an access bypass.
External URL injection through URL aliases – Moderately Critical – Open Redirect – Drupal 7 and Drupal 8
The path module allows users with the ‘administer paths’ to create pretty URLs for content. In certain circumstances the user can enter a particular path that triggers an open redirect to a malicious url.
Anonymous Open Redirect – Moderately Critical – Open Redirect – Drupal 8
Drupal core and contributed modules frequently use a “destination” query string parameter in URLs to redirect users to a new destination after completing an action on the current page. Under certain circumstances, malicious users can use this parameter to construct a URL that will trick users into being redirected to a 3rd party website, thereby exposing the users to potential social engineering attacks.
Injection in DefaultMailSystem::mail() – Critical – Remote Code Execution – Drupal 7 and Drupal 8
When sending email some variables were not being sanitized for shell arguments, which could lead to remote code execution.
Contextual Links validation – Critical – Remote Code Execution – Drupal 8
The Contextual Links module doesn’t sufficiently validate the requested contextual links. This vulnerability is mitigated by the fact that an attacker must have a role with the permission “access contextual links”.
Assistentie
Loopt u ergens vast en heeft u hulp nodig? Wij kunnen u helpen! Kijkt u voor meer informatie op: https://www.solutions4hosting.nl/website-diensten/website-beheer/