PHP компонентіндегі осалдық Drupal, Joomla және Typo3 сайттарына қауіп төндіреді

Drupal, Joomla және Typo3 мазмұнды басқару жүйелері жұмыс істейтін веб-сайттар кодтардың зиянды орындалуына осал. Бұл осалдық PHP PhoStreamWrapper компонентіне, Typo3 жасаған.

CVE-2019-11831 - бұл тораптың заңды мұрағаттық архивін зиянды бағдарламалармен алмастыруға мүмкіндік беретін жол-көлденең осалдық. Фарх мұрағаты бір файлда PHP қосымшасын немесе кітапхананы сақтау үшін қолданылады.

Мәселені қауіпсіздік зерттеушісі Даниэль Ле Галл ашты. Оның айтуынша, осалдық өте маңызды, бірақ Друпал оны «орташа маңызды» деп атады. CVE-2019-11831 сияқты қауіпті емес, мысалы, ақпан айында табылған CVE-2019-6340. Joomla әзірлеушілері осалдық қаупін тым төмен деп бағалады. Алайда, мәселе сайт қауіпсіздігіне қатер төндіреді және әкімшілерге жаңартуларды орнатуды ұсынады.

Drupal 8.7-ді 8.7.1-ке, Drupal 8.6-ға дейін және 8.6.16-ға дейін және Drupal 7-ден 7.67-ге дейін жаңарту қажет. Joomla жағдайында осалдық 3.9.3-тен 3.9.5-ке дейінгі барлық нұсқаларға әсер етеді. Түзету 3.9.6 нұсқасында қол жетімді.

Typo3 іске қосылған сайт әкімшілері PharStreamWapper бағдарламасын v3.1.1 және v2.1.1 нұсқаларына қолмен жаңартып отыруы керек немесе Composer тәуелділіктерінің жаңарғанына көз жеткізуі керек.

Дереккөз: securitylab.ru