Drupal 8’in Kasım 2015’teki ilk sürümünden bu yana, PHP tabanlı açık kaynaklı çevrimiçi içerik yönetim sistemi Twig’i varsayılan şablon motoru olarak kullandı.
Drupal, içeriği sterilize etmek ve şablonlamak için üçüncü taraf Twig kitaplığını kullanır. Twig için bir güvenlik yaması kullanıma sunuldu; Drupal’ı etkiler. CVE kimlikleri CVE-2022-39261, Twig’e göre yüksek bir önem derecesine sahiptir.
Twig’i Drupal çekirdeğinde uygulayan kod da benzer bir sorunu çözmek için değiştirildi.
Yetkisiz bir kullanıcının Twig kodu yazma erişimi varsa, özel dosyalara yetkisiz okuma erişimi, sunucudaki diğer dosyaların verileri veya veritabanı parolaları dahil olmak üzere bir dizi güvenlik açığı mümkündür.
Bir saldırı yalnızca sınırlı erişimli bir yönetim yetkisine sahip Drupal çekirdeğinde gerçekleştirilebileceğinden, risk azalır. Kullanıcıların Twig şablonları oluşturmasını sağlayan bağışlanmış veya özelleştirilmiş kodun, aynı güvenlik açığı için başka istismar yollarına yol açması mümkündür.
Azaltma
En son sürüme yükseltin:
Şu anda Drupal 9.4 çalıştırıyorsanız, Drupal 9.4.7’ye güncelleyin.
Şu anda Drupal 9.3 çalıştırıyorsanız, Drupal 9.3.22’ye güncelleyin.
9.3.x’ten önce, tüm Drupal 9 sürümleri “ömrünün sonu” olarak kabul edilir ve güvenlik açısından desteklenmez. Drupal 8’in artık desteklenmediğini unutmayın.
Twig, Drupal 7’nin çekirdeğinin bir parçası değildir, dolayısıyla etkilenmez.
Bilgi güvenliği uzmanı, şu anda risk altyapısı uzmanı ve araştırmacı olarak çalışmaktadır.
Risk ve kontrol süreci, güvenlik denetim desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.