В движке шаблонов Drupal устранили уязвимость, грозящую утечкой данных

Татьяна Никитина 30 Сентября 2022 - 18:25

...

В движке шаблонов Drupal устранили уязвимость, грозящую утечкой данных

Команда Drupal выпустила обновления для ядра CMS в связи с тем, что в дефолтном шаблонизаторе сторонней разработки только что закрыли опасную уязвимость. Система управления контентом использует библиотеку Twig для обработки и санации шаблонов с 2015 года (с момента выхода версии 8), поэтому Drupal 7 проблема не затронула.

Согласно бюллетеню разработчика, уязвимость CVE-2022-39261 (выход за пределы каталога) проявляется при загрузке шаблонов с использованием загрузчика файловой системы, но только в тех случаях, когда имя вводится пользователем. В такой ситуации подача команды source или include обеспечит автору атаки доступ на чтение к файлам в закрытых для него папках — при условии использования пространства имен вроде @somewhere/../some.fil.

Причиной появления уязвимости является неадекватная проверка подобного пользовательского ввода. Патч включен в состав сборок Twig 1.44.7, 2.15.3 и 3.4.3.

Участники проекта Drupal оценили степень опасности CVE-2022-39261 в 18 баллов из 25 возможных по используемой ими шкале (соответствует 7,5 балла по CVSS). Из неприятных последствий эксплойта упомянут несанкционированный доступ к конфиденциальным файлам, содержимому других файлам на сервере и ключам к базе данных.

Авторы публикации не преминули отметить, что в случае с CMS угрозу смягчает необходимость получить разрешение на ограниченный доступ. Однако это препятствие можно преодолеть с помощью стороннего или кастомного кода.

Для устранения проблемы пользователям рекомендуется перейти на новую сборку ядра — 9.3.22 или 9.4.7. Патчей в ветках, снятых с поддержки, не будет, поэтому лучше совершить апгрейд.

Минувшим летом в Drupal устранили еще одну уязвимость с оценкой «критическая» (по системе, принятой на проекте) — возможность удаленного выполнения PHP-кода. Установкам CMS версии 7 она тоже не страшна.

Следующая главная новость »

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!

Екатерина Быстрова 27 Апреля 2026 - 15:55

Уязвимости программ Домашние пользователи Корпорации Mozilla

В Firefox и Tor закрыли уязвимость отслеживания пользователей без cookies

Исследователи обнаружили уязвимость в Firefox, из-за которой сайты могли отслеживать пользователей даже в режиме приватного просмотра. Проблема, получившая идентификатор CVE-2026-6770, также затронула Tor Browser, поскольку он основан на Firefox.

Брешь связана с браузерным API IndexedDB, который используется для хранения структурированных данных на стороне пользователя.

Суть проблемы была в том, как Firefox обрабатывал имена баз данных IndexedDB. Браузер использовал внутренние UUID-сопоставления, а при запросе списка баз данных порядок их выдачи оставался одинаковым на разных сайтах в рамках одного запущенного процесса браузера.

Из-за этого разные сайты могли независимо видеть один и тот же порядок баз данных и связывать активность пользователя между доменами (без cookies и общего хранилища).

Такой отпечаток сохранялся после перезагрузки страниц и даже при запуске новых приватных сессий. Он исчезал только после полного перезапуска браузера.

Особенно неприятно, что проблема затрагивала не только приватный режим Firefox, но и функцию New Identity в Tor Browser. Она как раз предназначена для того, чтобы разрывать связь между сессиями: очищать историю, cookies и активные соединения. Однако уязвимость позволяла сайтам связывать сессии, которые должны быть изолированы друг от друга.

Mozilla устранила CVE-2026-6770 в Firefox 150. Компании присвоила дыре средний уровень риска и описала её как проблему в компоненте Storage: IndexedDB.

Tor Project также выпустил патч в Tor Browser 15.0.10, который вышел на прошлой неделе.

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!