В Drupal выявили и пропатчили критическую RCE-уязвимость

В Drupal выявили и пропатчили критическую RCE-уязвимость

В Drupal выявили и пропатчили критическую RCE-уязвимость

Разработчики Drupal устранили уязвимость удаленного исполнения кода, объявившуюся в компонентах ядра CMS-системы. Степень опасности проблемы, зарегистрированной как CVE-2020-13671, оценена в 17 баллов из 25 возможных по шкале, рекомендованной NIST (американским Институтом стандартов и технологий).

Согласно описанию на сайте Drupal, новая RCE-уязвимость возникла из-за неадекватной санации имен файлов, загружаемых на сервер. В результате система может интерпретировать расширение файла как некорректное и ошибиться при определении MIME-типа, а при некоторых настройках — даже запустить файл на исполнение как PHP.

Используя уязвимость, злоумышленник при наличии доступа может загрузить на сервер вредоносный файл определенного формата и добиться его исполнения в обход существующих ограничений.

Патчи выпущены для поддерживаемых версий CMS-системы — Drupal 7 и 9, а также веток 8.8 и 8.9. Пользователям рекомендуется обновить продукт до сборки 7.74, 9.0.8, 8.8.11 или 8.9.9 соответственно.

Кроме установки патча, разработчики советуют проверить ранее загруженные файлы на наличие подозрительных расширений, в особенности двойных. По их мнению, в ходе аудита также стоит обратить внимание на такие расширения, как phar, php, pl, py, cgi, html, htm, phtml, js и asp.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

МВД сообщило о пяти мошеннических схемах на тему доставки еды

МВД России выявило пять мошеннических схем, связанных с темой доставки еды. Из них полностью офлайновой является только одна — связанная с подменой заказов или доставкой «пустышек». Три из пяти схем основаны на различных вариантах фишинга.

О схемах, эксплуатирующих тему доставки, сообщило ТАСС со ссылкой на материалы МВД. Первая и наиболее распространённая схема — создание поддельных сайтов и приложений, внешне полностью копирующих легитимные сервисы доставки.

Мошенники таким образом получают доступ к платёжным данным, которые пользователи вводят в формах оплаты на этих клонах.

Вторая схема связана с рассылкой поддельных ссылок для отслеживания заказов. Такие сообщения распространяются через СМС или мессенджеры и также ведут на страницы, где от пользователя требуют ввести данные банковской карты.

Третья фишинговая схема — фальшивые скидки и бонусы. Мошенники предлагают якобы выгодные акции, чтобы привлечь пользователей на вредоносные сайты и похитить их данные.

По данным исследования компании F6, в 2025 году розничная торговля, включая доставку продуктов и готовой еды, заняла первое место среди всех отраслей по объёму фишинговых атак. На неё пришлось около половины всех случаев фишинга и треть мошеннических схем (скама).

Существуют и схемы, не связанные с фишингом. В одном из вариантов злоумышленники сообщают клиенту о несуществующей ошибке при оплате заказа и предлагают вернуть деньги. Под этим предлогом они запрашивают данные банковской карты или коды из СМС.

Единственная полностью офлайновая схема — подмена заказов. В этом случае клиент получает не те блюда, что заказывал, или вовсе «пустую» доставку. Обычно такие действия совершают не реальные курьеры, а злоумышленники, выдающие себя за сотрудников служб доставки.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru