Специалисты Drupal CMS исправили ошибку системы безопасности, которая позволяет хакерам получать доступ к сайтам через URL-адреса. Уязвимость оказалась достаточно серьёзной, разработчики присвоили ей 21 уровень опасности (очень критический) из 25.
Как это работает?
Ошибка с идентификатором CVE-2018-7600 позволяет злоумышленникам запускать вредоносный код против системы управления контентом, допуская захват контроля над сайтом. Хакерам не требуется регистрация и процедура подтверждения на целевом портале.
Участники сообщества Drupal прозвали ошибку Drupalgeddon2. Команда специалистов заявила, что не обладает информацией о взломах с использованием конкретного бага. Помимо исправления ошибки на основных версиях Drupal 7.x и Drupal 8.x, разработчики заявили о выпуске патчей для устаревшей версии Drupal 6.x.
На данный момент в Сети нет объяснения принципа работы уязвимости и кода эксплойта, но некоторые разработчики начали исследовать патчи на исправления.
The essence of the diff between Drupal 7.57 and 7.58 (CVE-2018-7600, SA-CORE-2018-002) appears to be this. #drupal #drupalgeddon2 pic.twitter.com/ZNvckNLTpb
— Arto Bendiken (@bendiken) March 28, 2018
Источник: Bleeping Computer