2021-09-16 08:21:19
Вчера состоялись релизы безопасности 9.2.6, 9.1.13 и 8.9.19.
Данные релизы закрывают следующие уязвимости:
- SA-CORE-2021-006: Подделка межсайтовых запросов связанная с модулем Media.
- SA-CORE-2021-007: Подделка межсайтовых запросов связанная с модулем Quick Edit.
- SA-CORE-2021-008: Возможность обхода проверок файла при их загрузке на сайт при использовании JSON:API / REST в некоторых ситуациях. До конца не ясно что имелось ввиду, скорее всего, учитывая какую низкую оценку ему дали, если сторонние модули добавляют свои валидации на загружаемые файлы, это можно было как-то пропустить, должным образом сформировав запрос.
- SA-CORE-2021-009: Возможность обхода доступа и получение значения поля при помощи Quick Edit. Тоже, только в опредлённых кейсах.
- SA-CORE-2021-010: Возможность обхода доступа к определённому содержимому при использовании JSON:API. Как и выше, только в определённых сценариях.
Все эти уязвимости имеют риск безопасности «Умеренно критично». Их текущее применение — теоретическое и никаких признаков их эксплуатации и упоминаний в сети не было обнаружено. Большинство из них нивелируется если у вас отключены JSON:API, REST и Quick Edit.
Тем не менее, лучше обновиться в ближайшее время, чтоб не рисковать.
747 views05:21