Drupal Coressa kriittinen ja aktiivisesti hyväksikäytetty SQL-injektion mahdollistava haavoittuvuus
Drupal-julkaisualustassa on havaittu kriittinen, SQL-injektion mahdollistava haavoittuvuus. Drupal on julkaissut haavoittuvuuden korjaavan päivityksen ja organisaatioita suositellaan välittömästi päivittämään Drupal haavoittuvuuden korjaamiseksi.
Haavoittuvuuden kohde
Haavoittuvuus vaikuttaa useisiin Drupalin versioihin. Haavoittuvia versioita ovat:
- Drupal 11:
- Drupal 11.3.x
- Drupal 11.2.x
- Drupal 11.1.x ja 11.0.x - Drupal 10
- 10.6.x
- 10.5.x
- 10.4.x - Drupal 9 ja 8
- Drupal 9.5.x
- Drupal 8.9.x
Drupal-versiot 11.1.x, 11.0.x, 10.4.x ja näitä vanhemmat versiot ovat end-of-life -tuotteita ja niissä on muitakin haavoittuvuuksia, mutta Drupal on julkaissut päivityksen vanhoihin versioihin haavoittuvuuden vakavuuden takia.
Mistä on kysymys?
Haavoittuvuus kohdistuu useissa Drupalin versioissa olevaan API-rajapintaan ja mahdollistaa SQL-injektion haavoittuvuutta hyväksikäyttäen. SQL-injektio voi johtaa järjestelmän tiedon vuotamiseen ja joissakin tapauksissa käyttöoikeuksien korottamiseen, mielivaltaisen koodin suorittamiseen ja muihin hyökkäyksiin. Haavoittuvuuden hyväksikäyttäminen vaatii, että asennus käyttää tietokantana PostgreSQL:ää. Haavoittuvuuden hyväksikäyttöä on tiedossa
Mitä voin tehdä?
- Päivitä Drupalin versio uusimpaan versioon, jossa haavoittuvuus on korjattu
- 11.3.x -versio tulee päivittää 11.3.10 -versioon
- 11.2.x -versio tulee päivittää 11.2.12 -versioon
- 11.1.x tai 11.0.x -versiot tulee päivittää 11.1.10 -versioon
- 10.6.x -versio tulee päivittää 10.6.9 -versioon
- 10.5.x -versio tulee päivittää 10.5.10 -versioon
- 10.4.x -versio tai aikaisempi tulee päivittää 10.4.10 -versioon
- Jos käytät Drupal 9 -tuoteversiota, asenna manuaalisesti 9.5 -päivitys
- Jos käytät 8.9, asenna manuaalisesti 8.9 -päivitys