Na primer ako napadač doda fajlu „malware.php“ još jednu ekstenziju, recimo „malware.php.txt“, Drupal će to prepoznati kao tekstualni fajl, ali će biti omogućeno izvršavanje PHP koda u trenutku kada pokuša da ga pročita. U normalnim situacijama, lako se detektuju fajlovi sa duplim ekstenzijama, ali se ispostavilo da Drupal ne proverava određena imena fajlova, čime se otvara prostor za ubacivanje malicioznog koda.
Već je napravljen sigurnosni update za verzije Drupal 7, 8 i 9, koji rešava ovaj problem, ali developeri upozoravaju admine da provere nedavne update fajlova sa dvostrukim ekstenzijama, jer je moguće da su njihovi sistemi već zaraženi pre nego što je implementiran patch. Oni su naveli da se posebna pažnja posveti sledećim ekstenzijama, koje se mogu smatrati opasnim, čak i ako iza njih stoji neka druga ekstenzija:
- phar
- php
- pl
- py
- cgi
- asp
- js
- html
- htm
- phtml
Inače, može se reći da je prilično iznenađujuće da se ovakva greška potkrala developerima koji razvijaju Drupal. Naime, duple ekstenzije su jedan od najstarijih trikova koje su hakeri koristili i jedan je od glavnih sistema provere kod CMS-ova, prilikom upload-a fajlova, pa je čudno da su propustili da obrate pažnju na taj detalj.
Izvor: ZDNet/PCPress
