ทีม Drupal ประกาศแพตช์สำหรับช่องโหว่ระดับวิกฤติ CVE-2020-13671 จากปัญหา Double extension ซึ่งส่งผลให้ผู้โจมตีสามารถอัปโหลดไฟล์ที่เป็นอันตรายขึ้นบนระบบได้โดยข้ามผ่านการตรวจสอบที่เหมาะสม
Double extension เป็นปัญหาและช่องโหว่ที่เกิดขึ้นเมื่อแอปพลิเคชันทำการตรวจสอบนามสกุลและประเภทของไฟล์ที่ไม่เหมาะสม ตัวอย่างหนึ่งของการโจมตีคือหากผู้ไม่ประสงค์ต้องการอัปโหลดไฟล์อันตรายชื่อ malware.php แต่ระบบไม่อนุญาตให้มีการอัปโหลดไฟล์ประเภทดังกล่าว ผู้ไม่ประสงค์จะทำการแก้ไขไฟล์เป็น malware.php.txt เพื่อทำให้ผ่านการอัปโหลดแต่ยังถูกเอ็กซีคิวต์ในลักษณะของไฟล์ PHP ได้
ช่องโหว่ Double extension ในกรณีของ Drupal เกิดจากการที่ Drupal ไม่ได้มีการตรวจสอบชื่อไฟล์บางประเภทอย่างดีพอ ทำให้ให้ผู้โจมตีสามารถทำการอัปโหลดไฟล์อันตรายขึ้นไปได้
ดูข้อมูลเพิ่มเติมและรุ่นของซอฟต์แวร์ที่ได้รับผลกระทบได้จาก https://www.drupal.org/sa-core-2020-012 ขอแนะนำให้ทำการอัปเดตรุ่นของซอฟต์แวร์เป็นรุ่นที่มีการแพตช์แล้วโดยด่วน
ที่มา: zdnet.com