Tim di balik sistem manajemen konten (CMS) Drupal telah merilis pembaruan keamanan minggu ini untuk menambal kerentanan kritis yang mudah dieksploitasi dan dapat memberi penyerang akses penuh pada situs yang rentan. Drupal, yang saat ini merupakan CMS keempat yang paling banyak digunakan di internet setelah WordPress, Shopify, dan Joomla, memberi peringkat kerentanan “Kritis”, yang menyarankan pemilik situs untuk menambal sesegera mungkin.
Dilacak sebagai CVE-2020-13671, kerentanan ini sangat mudah dieksploitasi dan mengandalkan trik “ekstensi ganda” yang bagus. Penyerang dapat menambahkan ekstensi kedua ke file berbahaya, mengunggahnya di situs Drupal melalui bidang unggahan terbuka, dan mengeksekusi program jahat.
Misalnya, file berbahaya seperti malware.php dapat diubah namanya menjadi malware.php.txt. Ketika diunggah di situs Drupal, file tersebut akan diklasifikasikan sebagai file teks daripada file PHP tetapi Drupal akan mengeksekusi kode PHP berbahaya saat mencoba membaca file teks tersebut.
sumber : ZDNET
