Malezya Bilgisayar Acil Müdahale Ekibi (MyCERT), AI modülünde 1.0.5’ten önceki sürümleri etkileyen birkaç Drupal güvenlik açıkını bildirmiştir. Bir MyCert danışmanında (MA-1292.032025) özetlenen bu sorun, potansiyel uzaktan kod yürütme riskleri ve Drupal-Powered web sitelerinin genel güvenliği ile ilgili siber güvenlik endişelerini dile getirmiştir. MyCert, Drupal’ın tüm kullanıcılarının ve yöneticilerinin bu riskleri azaltmak için gerekli güvenlik güncellemelerini derhal uygulamalarını önerdi.
Drupal güvenlik açıklarına genel bakış
Popüler bir açık kaynaklı içerik yönetim sistemi (CMS) olan Drupal, yakın zamanda daha geniş Drupal AI projesinin bir alt modülü olan AI Automators modülü içinde kritik güvenlik açıkları ile ilgili acil bir güvenlik danışmanlığı yayınladı. Bu Drupal güvenlik açıkları, bir saldırganın sistemi kullanmasına ve hassas verilere yetkisiz erişim ve tam sistem kontrolü de dahil olmak üzere ciddi sonuçlara yol açabilecek bir senaryo olan uzaktan kod yürütmesine izin verebilir.
Söz konusu drupal güvenlik açıkları, saha verilerinin doldurulması da dahil olmak üzere çeşitli görevleri otomatikleştirmek için büyük dil modeli (LLM) çıkışlarını işleyen AI otomatorlar modülü içindeki girişlerin yetersiz dezenfekte edilmesi ile ilişkilidir. Spesifik olarak, kusur, giriş altta yatan kabuğa doğru dezenfektan olmadan geçirildiğinde ortaya çıkar ve saldırganların keyfi komutlar çalıştırmasını sağlar.
Etkilenen sürümler:
- AI Otomobiller Modülü: 1.0.5’ten önceki tüm sürümler.
Güvenlik açıkları türleri
Danışmanlıkta detaylandırılmış iki farklı güvenlik açığı vardır:
- Kritik Uzaktan Kod Yürütme (RCE) Güvenlik Açığı: Belirlenen en şiddetli sorun, uzaktan kod yürütme potansiyelidir. Destek nedeniyleGiriş sanitizasyonu başına, saldırganlar, kabuğun daha sonra yürüttüğü sisteme kötü niyetli komutlar enjekte edebilir. Bu, siber suçluların Drupal destekli sitelerde keyfi komutlar çalıştırmasına ve bütünlüklerini ve güvenliklerini tehlikeye atmalarını sağlar.
- Orta derecede kritik gadget zinciri güvenlik açığı: Bu vulnERABLIBE, AI Otomatörler modülü içinde bir PHP nesne enjeksiyon sorunu içerir. Bu kusur doğrudan kullanılabilir olmasa da, diğer güvenlik açıklarıyla birleştirilirse, keyfi dosya silinmesine yol açabilir ve hatta bazı durumlarda uzaktan kod yürütülmesine neden olabilir. Bununla birlikte, bu güvenlik açığından yararlanmak, güvensiz girdinin aktarılmasına izin vermek için sistemdeki ek zayıflıklar gerektirir. WebIndalize () işlevi, ilk güvenlik açığından daha az tehlikeli hale getirir.
Kullanıcılar ve yöneticiler için öneri
Drupal AI’daki bu güvenlik açıkları göz önüne alındığında, MyCert, tüm kullanıcıları ve yöneticileri Drupal web sitelerini güvence altına almak için hemen harekete geçmeye çağırdı. En etkili önlem, hem kritik uzaktan kod yürütme hem de orta derecede kritik gadget zinciri güvenlik açıklarını ele alan yamalar içeren AI otomatorlar modülünün (1.0.5) en son sürümüne güncellemektir.
Drupal web sitelerini güvence altına almak için adımlar
- Drupal güvenlik bültenlerini inceleyin: Kullanıcılar ve yöneticiler, güncellemeler ve yamalar hakkında bilgi sahibi olmak için Drupal tarafından sağlanan güvenlik bültenlerini gözden geçirmelidir.
- 1.0.5 sürümüne yükseltme: Drupal siteniz AI Otomatörler modülünü kullanıyorsa, güvenlik açıklarını çözmek için derhal 1.0.5 sürümüne yükseltin. En son sürüm, saldırganların bu kusurlardan yararlanmasını önleyen temel düzeltmeler içeriyor.
- Güvenlik Bültenlerini İzleyin: Diğer güvenlik açıkları için potansiyel yamalar da dahil olmak üzere Drupal’dan yeni güvenlik danışmanları ile güncel kalın.Mayıs ayında ortaya çıkıyor.
Drupal tarafından verilen resmi danışma, şiddet dereceleri ve bunları hafifletmek için gereken adımlar da dahil olmak üzere güvenlik açıklarının tüm ayrıntılarını özetlemektedir. Danışmanlığa Drupal’ın güvenlik sayfasından erişilebilir: Drupal Güvenlik Danışma SA-CONTRIB-2025-021.
Çözüm
Bu Drupal AI güvenlik açıkları, modern web uygulamalarında acil yama yapmanın önemini vurgulamaktadır. İçerik yönetim sistemlerinde AI kullanımı daha yaygın hale geldikçe, bu teknolojileri potansiyel saldırılara karşı güvence altına almak her zamankinden daha önemlidir. Drupal yöneticileri, MyCert’in tavsiyesine dikkat etmeli ve uzaktan kod yürütülmesine ve diğer güvenlik tehditlerine karşı korunmak için AI Automators modülünün en son sürümlerini çalıştırdıklarından emin olmalıdır.
Drupal kullanıcıları, gerekli güncellemeleri uygulayarak ve güvenlik yamaları hakkında bilgilendirerek web sitelerini potansiyel istismarlardan koruyabilir. Drupal topluluğu gelişmeye devam ettikçe, Drupal AI ve diğer modüllerdeki güvenlik açıklarını ele almak hem geliştiriciler hem de güvenlik profesyonelleri için en önemli öncelik olmaya devam etmektedir.