Det er oppdaget en alvorlig sårbarhet i det populære publiseringsystsemet Drupal, melder blant andre nettstedet ZDNet. På Drupals egne hjemmesider kategoriseres sårbarheten som svært kritisk («highly critical»).
Feilen, som bærer identifikasjonskoden CVE-2019-6340, kan brukes av folk med onde intensjoner til å kapre en Drupal-nettside og potensielt ta kontroll over servere.
Må oppdateres
Drupal skriver at alle som benytter Drupal 8.6.x må oppgradere til Drupal 8.6.10, og alle som bruker Drupal 8.5.x eller tidligere versjoner må oppgradere til Drupal 8.5.11.
I tillegg er det viktig å installere alle tilgjengelige sikkerhetsoppdateringer som gjelder for tredjepartsprosjekter som ikke er en del av selve Drupal-kjernen.
Publiseringsverktøyet minner om at Drupal 8-versjoner eldre enn 8.5.x ikke lenger mottar sikkerhetsoppdateringer. Drupal 7 er ikke berørt av sårbarheten.
Nettsidene som er utsatt for sårbarheten må ha aktivert kjernemodulen RESTful Web Services og tillate PATCH- og POST-forespørsler.
Tredje mest brukte publiseringssystem
Også nettsider som har andre moduler aktivert, slik som JSON:API i Drupal 8 og RESTful Web Services-modulen i Drupal 7 er utsatt, skriver publiseringsverktøyet.
Ifølge Drupal innebærer sårbarheten i korte trekk at noen felttyper ikke i tilstrekkelig grad «renser» data som kommer fra de nevnte modulene, noe som altså åpner for muligheten til å snike inn ondsinnet kode skrevet i PHP, som er programmeringsspråket Drupal benytter.
Drupal er verdens tredje mest utbredte publiseringssystem, etter WordPress og Joomla. Som Ars Technica opplyser er det beregnet at Drupal benyttes av mellom 3 og 4 prosent av alle nettsider som bruker publiseringssystemer.
Det nøyaktige antallet nettsteder som er rammet av sårbarheten er vanskelig å anslå, men ligger trolig på flere hundre tusen.
Les også: Nordkoreanske hackere vender seg for første gang mot russiske mål »