Drupal core – Moderately critical – Cross Site Scripting – SA-CORE-2018-003

สำหรับผู้ใช้งานทั่วไป ให้ทำการตรวจสอบการดำเนินการเพื่อป้องกันการโจมตีดังนี้
- ในกรณีที่ผู้ใช้งานมีการใช้ Drupal 8 ให้ทำการดาวโหลดไปเป็น Drupal 8.5.2 ถึง 8.4.7
- สำหรับ Drupal 7.x ที่ใช้งาน CKEditor ในเวอร์ชัน 7.x-1.18 จาก CDN โดยตรงจะไม่ได้รับผลกระทบจากช่องโหว่นี้ อย่างไรก็ตามหากมีการติดตั้งไลบรารีจากช่องทางอื่น และ CKEditor ที่ติดตั้งเองนั้นอยู่ในช่องรุ่น 4.5.11 - 4.9.1 ให้ทำการอัปเดตไปเป็น CKEdit 4.9.2 โดยทันที
Recommendation Drupal ออกประกาศเตือนช่องโหว่ XSS ความรุนแรงระดับ "เกือบ" วิกฤติ

Drupal ได้มีการประกาศแพตช์ด้านความปลอดภัยรหัส SA-CORE-2018-003 ซึ่งเป็นช่องโหว่ XSS ในไลบรารี CKEditor ที่ความรุนแรงระดับสูง (moderately critical) ช่องโหว่ XSS สามารถช่วยให้ผู้โจมตีเข้าถึงข้อมูลในการยืนยันตัวตนและปลอมแปลงเป็นผู้ใช้งานอื่นได้

ที่มา:drupal

Read more