Drupalgeddon3 nuova vulnerabilità RCE in Drupal 7 e 8. Rilasciati aggiornamenti

26/04/2018

CMS Drupal drupalgeddon Vulnerabilità
 
Il Security Team di Drupal ha annunciato nella giornata di ieri il rilascio di nuove versioni del CMS che risolvono una vulnerabilità di tipo RCE (Remote Code Execution) classificata come altamente critica.
 
La falla risiede nel core di Drupal nelle versioni 7 e 8 e pare sia stata individuata analizzando la precedente vulnerabilità di tipo RCE denominata Drupalgeddon2 con CVE-2018-7600.
Alla nuova vulnerabilità, che potrebbe consentire l’accesso completo ai siti web con una versione di Drupal vulnerabile, è stato assegnato il CVE-2018-7602 ed è stata denominata Drupalgeddon3.
Visto come i criminali hanno utilizzato l’exploit pubblico che sfrutta la vulnerabilità Drupalgeddon2, è probabile che nei giorni a seguire approfitteranno della nuova falla RCE per compromettere i siti Web dotati di CMS Drupal.
Si consiglia pertanto di aggiornare il CMS alle ultime versioni di Drupal 7 e 8. Di seguito le modalità di aggiornamento indicate nel security advisory di Drupal:
  • Se si sta utilizzando la versione Drupal 7.x, è necessario procedere con l’aggiornamento a Drupal 7.59.
  • Se si sta utilizzando la versione Drupal 8.5.x,  è necessario procedere con l’aggiornamento a Drupal  8.5.3. 
  • Se si sta utilizzando la versione Drupal 8.4.x, al momento fuori supporto, è necessario prima aggiornare il sito alla versione 8.4.8 e successivamente installare la versione 8.5.3.