Опубликован эксплоит для критической уязвимости в Drupal

На портале GitHub опубликован РоС-эксплоит для критической уязвимости в системе управления контентом Drupal.

Ранее команда безопасности Drupal раскрыла серьезную уязвимость CVE-2018-7600, получившую название Drupalgeddon 2. Данная уязвимость позволяла неавторизованному злоумышленнику удаленно выполнить код.

До сих пор подробности об уязвимости не были доступны для общественности. Как пояснили исследователи из Check Point Research, проблема заключается в недостаточной проверке входных AJAX запросов к Form API (FAPI). В результате система позволяет злоумышленнику потенциально внедрить вредоносную полезную нагрузку во внутреннюю структуру Drupal. Таким образом можно заставить Drupal выполнить вредоносный код без аутентификации пользователя. Проэксплуатировав данную уязвимость, злоумышленник может получить полный контроль над любым сайтом под управлением Drupal.

Уязвимость существует во всех версиях Drupal с 6 до 8.

Drupal представляет собой систему управления контентом с открытым исходным кодом (CMS), которая используется более чем одним миллионом сайтов по всему миру (включая правительства, интернет-магазины, корпоративные организации, финансовые учреждения и пр.).