Drupal — уязвимость CVE-2022-39261

Олег

  • 2 октября 2022
Drupal 9

Снова паника в селе. В каналах по Информационной Безопасности пишут про новую уязвимость, затрагивающую шаблонизатор Twig в целом и движок CMS Drupal в частности. Уязвимы версии Drupal 8 и 9. Версия Drupal 7 не затронута. Для Drupal 8 — обновляйтесь до девятки.

Уязвимость CVE-2022-39261 (7.5 баллов по CVSS), выход за пределы каталога. Уязвимость исправлена в Twig 1.44.7, 2.15.3 и 3.4.3. И в Drupal 9.3.22 или 9.4.7.

Если кто-то предоставляет доступ к Drupal посторонним, то злоумышленник сможет получить несанкционированный доступ к конфиденциальным файлам, содержимому других файлам на сервере и ключам к базе данных. А если сервер ваш собственный и доступ к шаблонам имеете только вы, то можно продолжать попивать мохито.

drupal

Потом обновлюсь...

Ссылки

https://www.anti-malware.ru/news/2022-09-30-114534/39650

https://symfony.com/blog/twig-security-release-possibility-to-load-a-template-outside-a-configured-directory-when-using-the-filesystem-loader

https://nvd.nist.gov/vuln/detail/CVE-2022-39261

Теги

💰 Поддержать проект

 

Похожие материалы

Критическая уязвимость Drupal Core — CVE-2022-25277

Олег

Drupal 9
Для ядра Drupal выпустили исправления критической уязвимости CVE-2022-25277. Уязвимость получила 15 баллов из 25 возможных по шкале, принятой на Drupal. Возможно удалённое выполнение кода PHP.

Теги

Drupal 8 — установка системы комментариев Disqus

Олег

Drupal 8

Есть много разных систем комментариев для сайтов: платные, бесплатные, хорошие, плохие. Не будем обсуждать их достоинства и недостатки. Меня не устроила стандартная система комментирования Drupal, ставим Disqus.

Чем хорош Disqus? Он ставится на drupal и работает. 

Итак, регистрируемся на  сайте disqus.com и добавляем свой сайт, сами разберётесь как это делать. Disqus поддерживает много CMS:

Теги

Почитать