در دی ۱۴۰۰، شرکتهای مایکروسافت، سیسکو، مکآفیاینترپرایز، بیتدیفندر، ویامور، اوراکل، ادوبی، گوگل، اپل، موزیلا، اسآپ، سیتریکس، وردپرس، جونیپرنتورکز، اففایو و دروپال اقدام به عرضه بهروزرسانی و توصیهنامه امنیتی برای برخی محصولات خود کردند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده به برخی از بااهمیتترین اصلاحیههای دی ماه پرداخته شده است.
مـایـکـروسـافـت
شرکت مایکروسافت (Microsoft Corp)، مجموعه اصلاحیههای امنیتی ماهانه خود را برای ماه میلادی ژانویه 2022 منتشر کرد. اصلاحیههای مذکور بیش از 90 آسیبپذیری را در Windows و محصولات مختلف این شرکت ترمیم میکنند. این بیشترین میزان آسیبپذیریهای ترمیم شده ماهانه مایکروسافت در هشت ماه گذشته است، با این حال، بنا بر اظهارات مایکروسافت، هیچ یک از این ضعفهای امنیتی به طور فعال مورد سوءاستفاده قرار نگرفته است.
این مجموعه اصلاحیهها، انواع مختلفی از آسیبپذیریها را به شرح زیر در محصولات مختلف مایکروسافت ترمیم میکنند:
- “ترفیع امتیازی” (Elevation of Privilege)
- “اجرای کد به صورت از راه دور” (Remote Code Execution)
- “افشای اطلاعات” (Information Disclosure)
- “جعل” (Spoofing)
- “منع سرویس” (Denial of Service – به اختصار DoS)
- “عبور از سد امکانات امنیتی” (Security Feature Bypass)
درجه اهمیت 9 مورد از آسیبپذیریهای ترمیم شده این ماه “حیاتی” (Critical) و دیگر موارد “مهم” (Important) اعلام شده است.
در درجهبندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، “حیاتی” تلقی شده و اصلاحیههایی که این نوع نقاط ضعف را ترمیم میکنند، بالاترین درجه حساسیت یا “حیاتی” را دریافت مینمایند. نقاط ضعفی که سوءاستفاده موفق از آنها نیازمند فریب کاربر به انجام کاری باشد یا نیازمند دسترسی فیزیکی به دستگاه هدف باشد، توسط اصلاحیههایی با درجه حساسیت “مهم” برطرف و ترمیم میگردند.
از میان آسیبپذیریهای ترمیم شده در اولین ماه میلادی 2022، ضعفهای امنیتی با شناسههای CVE-2022-21840 ،CVE-2022-21841 ،CVE-2022-21842 و CVE-2022-21837 قابل توجه هستند. ضعفهای امنیتی مذکور در مجموعه محصولات Office بوده و میتوانند توسط تاکتیک مورد علاقه مهاجمان که ترغیب کاربر به باز کردن یک سند خاص است، موجب “اجرای کد از راه دور” در سیستمهای آسیبپذیر شوند.
دیگر آسیبپذیری که توسط مایکروسافت ترمیم شده دارای شناسه CVE-2022-21846 بوده و سوءاستفاده از آن منجر به “اجرای کد از راه دور” در Microsoft Exchange Server میشود. مایکروسافت احتمال بهرهجویی از این ضعف امنیتی را بسیار بالا پیشبینی نموده است. دو آسیبپذیری مهم دیگر در Exchange Server با شناسههای CVE-2022-21969 و CVE-2022-21855 وجود دارند که به مهاجم اجازه میدهند از راه دور کد را روی سرور مورد نظر اجرا کند. سرورهای Exchange در سال گذشته به دلیل مجموعهای از آسیبپذیریهای “روز-صفر” بارها هدف حملات مهاجمان قرار گرفتند. از مهمترین حملات بر روی سرورهای مذکور میتوان به باجافزار Babuk اشاره نمود که مشروح خبر آن در نشانی زیر قابل مطالعه است.
https://newsroom.shabakeh.net/22747/microsoft-exchange-proxyshell-exploits-deploy-babuk.html
6 مورد از آسیبپذیریهای ترمیم شده این ماه، از نوع “روز-صفر” (شناسههای CVE-2021-22947 ،CVE-2021-36976 ،CVE-2022-21919 ،CVE-2022-21836 ،CVE-2022-21839 و CVE-2022-21874) میباشند، اگر چه موردی در خصوص بهرهجویی از آنها گزارش نشده است.
مایکروسافت آن دسته از آسیبپذیریهایی را از نوع روز-صفر میداند که پیشتر اصلاحیه رسمی برای ترمیم آنها ارائه نشده، جزییات آنها بهطور عمومی منتشر شده یا در مواقعی مورد سوءاستفاده مهاجمان قرار گرفته است. فهرست 6 ضعف امنیتی “روز-صفر” ترمیم شده اولین ماه از سال میلادی 2022، به شرح زیر است:
- CVE-2021-22947: آسیبپذیری از نوع “اجرای کد به صورت از راه دور” که Open Source Curl را متأثر میکند.
- CVE-2021-36976: آسیبپذیری از نوع “اجرای کد به صورت از راه دور” که Libarchive از آن متأثر میشود.
- CVE-2022-21919: آسیبپذیری از نوع “ترفیع امتیازی” که Windows User Profile Service از آن متأثر میشود.
- CVE-2022-21836: آسیبپذیری از نوع “جعل” که Windows Certificate از آن تأثیر میپذیرد.
- CVE-2022-21839: آسیبپذیری از نوع “منع سرویس” و مربوط به Windows Event Tracing Discretionary Access Control List میباشد.
- CVE-2022-21874: آسیبپذیری از نوع “اجرای کد به صورت از راه دور” و در Windows Security Center API میباشد.
هر دو آسیبپذیری Curl و Libarchive (با شناسههای CVE-2021-22947 و CVE-2021-36976) قبلاً توسط سازندگان آنها ترمیم شدهاند، اما تا به امروز اصلاحیههای آنها به Windows اضافه نشده بود. با این حال، از آنجایی که نمونه اثباتگر (Proof-of-Concept – به اختصار PoC) بسیاری از این موارد به صورت عمومی منتشر شدهاند، احتمالاً به زودی توسط مهاجمان مورد سوءاستفاده قرار خواهند گرفت.
کارشناسان از راهبران امنیتی سیستمهای Windows میخواهند که توجه ویژهای به ضعف امنیتی با شناسه CVE-2022-21907 داشته باشند. ضعف امنیتی مذکور دارای درجه اهمیت “حیاتی” و درجه شدت 9.8 از 10 (بر طبق استادارد CVSS) میباشد. مهاجمان بدون احراز هویت میتوانند بستههای دستکاری شده را با استفاده از HTTP Protocol Stackو(http.sys) به سرور موردنظر جهت پردازش بستهها ارسال کنند. شرکت مایکروسافت اعلام نموده که آسیبپذیری مذکور دارای قابلیتهای کرم (Wormable Capabilities) بوده و توصیه میکند که راهبران امنیتی وصله سرورهای آسیبپذیر را در اولویت قرار دهند.
این شرکت همچنین نسبت به ضعف امنیتی با شناسه CVE-2022-21846 که دارای درجه اهمیت “حیاتی” و درجه شدت 9 از 10 (بر طبق استادارد CVSS) است و میتواند منجر به “اجرای کد از راه دور” در سرورهای Exchange شود، هشدار داده است.
آسیبپذیری “حیاتی” دیگر در Microsoft Office و دارای شناسه CVE-2022-21840 و درجه شدت 8.8 از 10 (بر طبق استادارد CVSS) میباشد و منجر به “اجرای کد از راه دور” میشود. اکثر ضعفهای امنیتی از نوع “اجرای کد از راه دور” در Microsoft Office از درجه اهمیت “مهم” برخوردار هستند زیرا به تعامل کاربر نیاز دارند و اغلب صفحه اعلان و هشداری را نیز نمایش میدهند. با این حال، ضعف امنیتی با شناسه CVE-2022-21840 با درجه اهمیت “حیاتی” فهرست شده است. این به طور معمول به این معنی است که Preview Pane یک بردار حمله است، اما در اینجا این چنین نیست. درعوض، این آسیبپذیری به دلیل عدم وجود صفحات اعلان هشدار هنگام باز کردن یک فایل دستکاری شده، درجه اهمیت “حیاتی” برای آن در نظر گرفته شده و چندین وصله برای ترمیم آن ارائه شده است. توصیه میشود که کاربران این نرمافزارها، همه وصلههای موجود را اعمال نمایند. متأسفانه، تا کنون برای Office 2019 در Mac و Microsoft Office LTSC در Mac 2021 وصلهای ارائه نشده است. این احتمال وجود دارد که مایکروسافت این وصلهها را به زودی در دسترس قرار دهد.
یکی دیگر از آسیبپذیریهای “حیاتی”، CVE-2022-21857 است که تحت شرایط خاصی “ترفیع امتیازی” را برای مهاجمان در Active Directory افزایش میدهد. اگرچه “ترفیع امتیازی” نیز معمولاً دارای درجه اهمیت “مهم” میباشد، مایکروسافت این ضعف امنیتی را “حیاتی” در نظر گرفته و درجه شدت 8.8 از 10 (بر طبق استادارد CVSS) برای آن گزارش شده است. بنابراین مهاجمی داخلی یا مهاجم دیگری که در شبکه نفوذ نموده میتواند از آن برای توسعه آلودگی در شبکه (Lateral Movement) و ماندگاری در شبکه یک سازمان سوءاستفاده کند.
آسیبپذیری “حیاتی” دیگر دارای شناسه CVE-2022-21849 و دارای درجه شدت 9.8 از ۱۰ (بر طبق استاندارد CVSS) است. ضعف امنیتی مذکور منجر به “اجرای کد از راه دور” در Internet IKE Extension (IKE) Version 2 میشود. جزئیات این ضعف امنیتی تاکنون به صورت کامل گزارش نشده ولی مهاجم از راه دور میتواند هنگام اجرای سرویس IPSec در سیستمهای Windows، از آسیبپذیریهای متعددی بدون احراز هویت سوءاستفاده کند.
ضعف امنیتی با شناسه CVE-2022-21837 نیز دارای درجه اهمیت “حیاتی” است و درجه شدت آن 8.3 از 10 (بر طبق استاندارد CVSS) میباشد. مهاجم میتواند از این آسیبپذیری برای دسترسی به دامنه (Domain) استفاده نموده و با “اجرای کد از راه دور” در سرور SharePoint سطح دسترسی و امتیازات خود را به مدیر SharePoint ارتقاء دهد.
با توجه به اینکه نمونه اثباتگر برخی از ضعفهای امنیتی این ماه منتشر شده، توصیه میشود کاربران در اسرع وقت نسبت به بهروزرسانی وصلهها اقدام نمایند.
فهرست کامل آسیبپذیریهای ترمیم شده توسط مجموعهاصلاحیههای ژانویه 2022 مایکروسافت در گزارش زیر که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده قابل مطالعه است:
https://afta.gov.ir/portal/home/?news/235046/237266/244882/
سـیسـکو
شرکت سیسکو (.Cisco Systems, Inc) در دی ماه در چندین نوبت اقدام به عرضه بهروزرسانیهای امنیتی برای برخی از محصولات خود کرد. این بهروزرسانیها، 26 آسیبپذیری را در محصولات مختلف این شرکت ترمیم میکنند. درجه اهمیت 5 مورد از آنها “حیاتی”، 6 مورد از آنها از نوع “بالا” (High) و 15 مورد از نوع “متوسط” (Medium) گزارش شده است. آسیبپذیری به حملاتی همچون “منع سرویس”، “تزریق کد از طریق سایت” (Cross-Site Scripting)، “تزریق فرمان” (Command Injection) و “افشای اطلاعات” از جمله مهمترین اشکالات مرتفع شده توسط بهروزرسانیهای جدید هستند. مهاجم میتواند از بعضی از این آسیبپذیریها برای کنترل سیستم آسیبپذیر سوءاستفاده کند. توضیحات کامل در مورد بهروزرسانیهای عرضه شده در لینک زیر قابل دسترس است:
https://tools.cisco.com/security/center/publicationListing.x
مـکآفـی اینتـرپـرایز
در دی 1400، شرکت مکآفی اینترپرایز (McAfee Enterprise) با انتشار توصیهنامه، از ترمیم یک آسیبپذیری با شناسه CVE-2021-31833 در نسخه 8.3.4 نرمافزار McAfee Application and Change Control for Windows و دو آسیبپذیری با شناسههای CVE-2021-31854 و CVE-2022-0166 در نسخه 5.7.5 نرمافزار McAfee Agent و یک آسیبپذیری با شناسههای CVE-2021-4088 در نسخه 11.6.401 نرمافزار Data Loss Prevention خبر داد. همچنین این شرکت با انتشار ePolicy Orchestrator 5.10.0 Update 12 و Threat Intelligence Exchange 3.0.1 Hotfix 4 تمامی آسیبپذیریهای معروف به Log4J را نیز در این دو محصول ترمیم و برطرف کرد. جزییات بیشتر در توصیهنامههای زیر قابل دریافت و مطالعه است:
https://kc.mcafee.com/corporate/index?page=content&id=SB10370
https://kc.mcafee.com/corporate/index?page=content&id=SB10378
https://kc.mcafee.com/corporate/index?page=content&id=KB95109
https://kc.mcafee.com/corporate/index?page=content&id=SB10376
علاوه بر این، در دی ماه، شرکت مکآفی اینترپرایز (McAfee Enterprise) اقدام به انتشار نسخ جدید زیر کرد:
- Endpoint Security for Linux Kernel Update Package 10.7.8.118
- McAfee Policy Auditor 6.5.2 Hotfix 1
- MVISION Insights January 2022
- SIEM Enterprise Security Manager 11.5.4
بـیـتدیـفنـدر
در ماهی که گذشت شرکت بیتدیفندر (Bitdefender) نسخ زیر را منتشر کرد:
- GravityZone Control Center 6.27.1-2
- Bitdefender Endpoint Security Tools for Windows 7.4.2.142
- Bitdefender Endpoint Security Tools for Linux 7.0.3.1927
- Bitdefender Endpoint Security for Mac 7.4.8.200008
اطلاعات کامل در خصوص تغییرات و بهبودهای لحاظ شده در نسخ مذکور در لینک زیر قابل مطالعه است:
https://www.bitdefender.com/business/support/en/77212-48453-release-notes.html
ویامور
در ماهی که گذشت، شرکت ویامور (.VMware, Inc) با انتشار توصیهنامههای امنیتی، نسبت به ترمیم محصولات زیر اقدام کرد:
- VMware ESXi
- VMware Workstation Pro/Player (Workstation)
- VMware Fusion
- VMware Cloud Foundation
- VMware Horizon Client for Windows
سوءاستفاده از ضعفهای امنیتی ترمیم شده توسط این بهروزرسانیها، مهاجم را قادر به در اختیار گرفتن کنترل سامانه آسیبپذیر و دستیابی به اطلاعات حساس میکند. جزییات بیشتر آن در لینک زیر قابل مطالعه است:
https://www.vmware.com/security/advisories.html
اوراکـل
28 دی ۱۴۰۰، شرکت اوراکل (Oracle Corp) مطابق با برنامه زمانبندی شده سهماهه خود، با انتشار مجموعهبهروزرسانیهای موسوم به Critical Patch Update اقدام به ترمیم 497 آسیبپذیری امنیتی در دهها محصول ساخت این شرکت کرد. سوءاستفاده از برخی از آسیبپذیریهای مذکور مهاجم را قادر به اجرای کد بهصورت از راه دور بدون نیاز به هر گونه اصالتسنجی میکند. جزییات کامل در خصوص آنها در لینک زیر قابل دریافت است:
https://www.oracle.com/security-alerts/cpujan2022.html
ادوبـی
در دی ماه، شرکت ادوبی (.Adobe, Inc) مجموعه اصلاحیههای امنیتی ماه ژانویه را منتشر کرد. اصلاحیههای مذکور، در مجموع 41 آسیبپذیری را در 5 محصول زیر ترمیم میکنند:
از مجموع 41 آسیبپذیری ترمیم شده اولین ماه ادوبی، 21 مورد با درجه اهمیت “حیاتی” و دیگر موارد “مهم” و “متوسط” (Moderate) اعلام شده است. این مجموعه اصلاحیهها، انواع مختلفی از آسیبپذیریها را به شرح زیر در محصولات مختلف ادوبی ترمیم میکنند:
- “ترفیع امتیازی” (Elevation of Privilege)
- “اجرای کد” (Arbitrary Code Execution)
- “نشت حافظه” (Memory Leak)
- “منع سرویس” (Denial of Service – به اختصار DoS)
- “عبور از سد امکانات امنیتی” (Security Feature Bypass)
بیشترین آسیبپذیری ترمیم شده این ماه ادوبی، مرتبط به Adobe Acrobat and Reader با 26 مورد بوده است. یکی از ضعفهای امنیتی مذکور مهاجم را در صورت باز نمودن یک فایل PDF دستکاری شده توسط کاربر، قادر به “اجرای کد از راه دور” میسازد. از آنجایی که چندین مورد از این آسیبپذیریها در Tianfu Cup بکار گرفته شده است، این احتمال وجود دارد که توسط مهاجمان در آینده مورد سوءاستفاده قرار گیرد.
با نصب بهروزرسانی ماه اکتبر، نسخه نگارشهای جاری نرمافزارهای Acrobat DC و Acrobat Reader DC به 21.011.20039، نگارشهای ۲۰۲۰ به 20.004.30020 و نگارشهای ۲۰۱۷ آنها به 17.011.30207 تغییر خواهد کرد.
ادوبی در بهروزرسانی این ماه، 3 ضعف امنیتی با درجه اهمیت “حیاتی” از نوع “اجرای کد” و 1 آسیبپذیری با درجه اهمیت “مهم” که منجر به “ترفیع امتیازی” میشود را در InCopy ترمیم نموده است. وصلههای ارائه شده برای InDesign دو ضعف امنیتی موسوم به Out-Of-Bounds Write – به اختصار (OOB) با درجه اهمیت “حیاتی” را رفع میکند. آسیبپذیری مذکور میتواند علاوه بر “اجرای کد” منجر به “ترفیع امتیازی” شود.
بهروزرسانی Adobe Bridge نیز شش ضعف امنیتی را ترمیم نموده که تنها یک مورد آن از نوع OOB Write و از درجه اهمیت “حیاتی” است، بقیه موارد از نوع “نشت حافظه” و “ترفیع امتیازی” میباشند. در نهایت، وصله ارائه شده برای برای Illustrator نیز دو ضعف امنیتی OOB Read را رفع میکند که هیچ کدام منجر به “اجرای کد” نمیشوند.
اگر چه موردی مبنی بر سوءاستفاده از آسیبپذیریهای ترمیم شده تا تاریخ 21 دی گزارش نشده، ادوبی به مشتریان خود توصیه میکند که در اسرع وقت اقدام به نصب بهروزرسانیها کنند. اطلاعات بیشتر در خصوص مجموعه اصلاحیههای ماه ژانویه 2022 در لینک زیر قابل مطالعه است:
https://helpx.adobe.com/security/security-bulletin.html
گـوگـل
شرکت گوگل (Google, LLC) در دی ماه، در چندین نوبت اقدام به ترمیم آسیبپذیریهای امنیتی مرورگرChrome کرد. آخرین نسخه این مرورگر که در 29 دی ماه انتشار یافت، نسخه 97.0.4692.99 است. فهرست اشکالات مرتفع شده در لینکهای زیر قابل دریافت و مشاهده است:
https://chromereleases.googleblog.com/2022/01/stable-channel-update-for-desktop.html
https://chromereleases.googleblog.com/2022/01/stable-channel-update-for-desktop_19.html
اپـل
در دی ماه، شرکت اپل (.Apple, Inc) با انتشار بهروزرسانی، ضعفهای امنیتی متعددی را در چندین محصول خود از جمله iOS و iPadOS ترمیم و اصلاح کرد. سوءاستفاده از برخی از ضعفهای مذکور، مهاجم را قادر به در اختیار گرفتن کنترل سامانه آسیبپذیر میکند. توصیه میشود با مراجعه به نشانی زیر، بهروزرسانی مربوطه هر چه سریعتر اعمال شود.
https://support.apple.com/en-us/HT201222
مـوزیـلا
در ماهی که گذشت شرکت موزیلا (Mozilla, Corp) با ارائه بهروزرسانی، چند آسیبپذیری امنیتی را در مرورگر Firefox و نرمافزار Thunderbird برطرف کرد. اصلاحیههای مذکور، در مجموع 19 آسیبپذیری را در محصولات مذکور ترمیم میکنند. درجه حساسیت 10 مورد از آنها “بالا”، 6 مورد “متوسط” و 3 مورد “پایین” (Low) گزارش شده است. سوءاستفاده از برخی از ضعفهای مذکور، مهاجم را قادر به در اختیار گرفتن کنترل دستگاه آسیبپذیر میکند. توضیحات بیشتر در لینک زیر قابل مطالعه است:
https://www.mozilla.org/en-US/security/advisories/
اسآپ
اسآپ (SAP SE) نیز در 21 دی 1400 با انتشار مجموعهاصلاحیههایی، 13 آسیبپذیری را در چندین محصول خود برطرف کرد. شدت یک مورد از این ضعفهای امنیتی 10 از 10 (بر طبق استانداردCVSS ) گزارش شده است. بهرهجویی از بعضی از آسیبپذیریهای ترمیم شده مهاجم را قادر به در اختیار گرفتن کنترل سیستم میکند. جزییات بیشتر در لینک زیر قابل مطالعه است:
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=596902035
سیتریکس
در اواسط ماهی که گذشت، شرکت سیتریکس (.Citrix Systems, Inc) نیز با عرضه بهروزرسانیهای امنیتی، پنج آسیبپذیری با شناسههای CVE-2021-28704 ،CVE-2021-28705 ،CVE-2021-28714 ،CVE-2021-28715 و CVE-2022-21825 را در Citrix Hypervisor و Citrix Workspace App ترمیم کرد. مهاجم میتواند از این ضعفهای امنیتی برای کنترل سیستم آسیبپذیر سوءاستفاده کند. توصیه میشود راهبران امنیتی جزییات ضعفهای امنیتی مذکور را در آدرسهای زیر مرور کرده و بهروزرسانیهای لازم را اعمال کنند.
https://support.citrix.com/article/CTX338435
https://support.citrix.com/article/CTX335432
وردپـرس
16 دی، بنیاد وردپرس (Woprdpress.org)، نسخه 5.8.3 سامانه مدیریت محتوای WordPress را عرضه کرد. در نسخه مذکور ضعفهای موجود در نسخههای 3.7-5.8 ترمیم شده که سوءاستفاده از برخی آنها به مهاجم امکان میدهد تا کنترل سایت تحت مدیریت این سامانه را به دست بگیرد. توصیه میشود کاربران در اسرع وقت نسبت به بهروزرسانی آن به WordPress 5.8.3 اقدام نمایند. اطلاعات بیشتر در این مورد در لینک زیر قابل مطالعه است:
https://wordpress.org/news/2022/01/wordpress-5-8-3-security-release/
جـونیـپر نـتورکـز
جونیپر نتورکز (.Juniper Networks, Inc) هم در دی ماه با ارائه بهروزرسانی چندین ضعف امنیتی را محصولات مختلف این شرکت ترمیم کرد. سوءاستفاده از ضعفهای مذکور مهاجم را قادر به در اختیار گرفتن کنترل دستگاه آسیبپذیر میکند. جزییات بیشتر در لینک زیر قابل مطالعه است:
https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES
اففایـو
30 دی، اففایو (F5, Inc.) اقدام به عرضه بهروزرسانیهایی برای محصولات BIG-IP ،BIG-IQ و NGINX Controller API Management نمود. این بهروزرسانیها، 25 آسیبپذیری را در این محصولات ترمیم میکنند. درجه اهمیت 15 مورد از آنها “بالا”، 9 مورد از آنها از نوع “متوسط” و 1 مورد از آنها “پایین” گزارش شده است. فهرست اشکالات مرتفع شده در لینک زیر قابل دریافت و مشاهده است:
https://support.f5.com/csp/article/K40084114
دروپـال
29 دی ماه، جامعه دروپال (Drupal Community) با عرضه بهروزرسانیهای امنیتی، چندین ضعف امنیتی با شناسههای CVE-2021-41182 ،CVE-2021-41183 ،CVE-2021-41184 ،CVE-2016-7103 و CVE-2010-5312 را در نسخ 7، 9.2 و 9.3 خود اصلاح کرد. سوءاستفاده از بعضی از این آسیبپذیریها مهاجم را قادر به در اختیار گرفتن کنترل سامانه میکند. توضیحات کامل در این خصوص در لینکهای زیر قابل دسترس است.
https://www.drupal.org/sa-core-2022-001
https://www.drupal.org/sa-core-2022-002