Tag: drupal

Niewiele trzeba było czekać na analizę ostatniego patcha wydanego przez ekipę Drupala. Jeśli mamy dostępne API RESTowe możemy wykonać taki request: POST /drupal-8.6.9/node/1?_format=hal_json HTTP/1.1 Host: 192.168.56.101 Content-Type: application/hal+json Content-Length: 286 { “_links”: { “type”: { “href”: “http://192.168.56.101/drupal-8.6.9/rest/type/node/article” } }, “type”: { “target_id”: “article” }, “title”: { “value”: “My Article” },…

Właśnie załatano krytyczną podatność w Drupalu. Wiemy na razie niezbyt wiele – na pewno można ją wykorzystać bez uwierzytelnienia oraz ma ona miejsce w module API. Warunkiem możliwości wykorzystania podatności jest prawdopodobnie udostępnienie / włączenie jakiegokolwiek API. Więc na szybko Drupal zaleca wyłączenie metod RESTowych: PUT/PATCH/POST (choć najlepiej podnieść do wersji…

Drupal właśnie opublikował łatę na podatność umożliwiającą zdalne wykonywanie kodu na serwerze – bez uwierzytelnienia. Podatność otrzymała ranking 21/24 wg skali Drupala (highly critical).