ทีม Drupal Security ได้มีการประกาศแพตช์ในโมดูล Custom Tokens วันนี้ โดยแพตช์ดังกล่าวเป็นแพตช์ของปัญหาด้านความปลอดภัยซึ่งอาจทำให้ผู้โจมตีรันโค้ด PHP ที่เป็นอันตรายได้
โมดูล Custom Tokens นั้นเป็นโมดูลที่ใช้ในการตั้งค่าการทำงานของ token API ใน Drupal ปัญหาของ Custom Tokens เกิดขึ้นเมื่อมีการสร้าง token ที่ไม่ได้มีการจำกัดสิทธิ์อย่างเหมาะสม ซึ่งอาจทำให้ผู้ใช้งานที่มีสิทธิ์ในระดับต่ำสามารถรันโค้ดที่เป็นอันตรายได้
Drupal Security ให้ความเห็นว่าช่องโหว่ในลักษณะนี้สามารถถูกลดผลกระทบได้เนื่องจากผู้โจมตีจะต้องมีสิทธิ์ที่เรียกว่า "administer custom tokens" ก่อน ทำให้ช่องโหว่นี้จึงไม่ได้ช่องโหว่ที่มีความรุนแรงมากนัก
สำหรับผู้ใช้งาน Drupal ควรดำเนินการอัปเดตโมดูล Custom Tokens เป็น 7.x-1.2 สำหรับผู้ใช้งานในรุ่น 1.x และ 7.x-2.0 สำหรับผู้ใช้งานในรุ่น 2.x เพื่อรับแพตช์ช่องโหว่ดังกล่าว
ที่มา : drupal
You must be logged in to post a comment.