کمیته رکن چهارم – محققان امنیتی دو آسیبپذیری برای مدیریت محتوای Drupal شناسایی کردهاند. یکی از این آسیب پذیری ها می تواند رمزعبور Drupal را ریست کند. هکرها با استفاده از URL خاص می توانند از این آسیبپذیری استفاده کرده و رمزعبور Drupal را مجدد تنظیم کنند. این آسیبپذیری به هکر اجازه میدهد تا بدون دانستن رمزعبور کاربر به آن دسترسی داشته باشد.
به گزارش کمیته رکن چهارم،آسیب پذیریها مربوط به نسخه های ۶ تا قبل ۶٫۳۵ و ۷ تا قبل ۷٫۳۵ می شود. بر اساس تخمین اعلام شده، حدود ۹۸۳٫۰۰۰ از ۱٫۱ میلیون وب سایت Drupal آسیب پذیر هستند.
به منظور رفع این آسیبپذیری نسخه های ۶٫۳۵ و ۷٫۳۵ توسط تیم Drupal برای دانلود آماده شده است.البته به منظور استفاده از آسیبپذیری بیان شده باید شرایطی از قبل فراهم شده باشد. در نسخه ۷ و ۶ مدیریت محتوای Drupal باید ادمین از هش یکسان برای چندین حساب کاربری استفاده کرده باشد. نسخه ۶، در شرایط دیگر نیز آسیبپذیر است.اگر ادمین از یک رمزعبور برای چندین حساب کاربری استفاده کرده باشد یا فیلد هش رمزعبور برای پایگاه داده خالی باشد.
آسیب پذیری دوم یک آسیب پذیری تغییر مسیر است. هکر با استفاده از این آسیب پذیری، کاربران سایت را به صفحه های خود هدایت میکنند که در آن صفحات از حملههای مهندسی اجتماعی استفاده میشود.
منبع : سایبربان
