Multiple vulnerabilità critiche in Drupal 8. Rilasciata la versione 8.2.7

16/03/2017

Il Drupal Security Team ha emesso nella giornata di ieri un avviso di sicurezza (SA-2017-001) attraverso il quale invita gli utenti ad aggiornare il CMS alla release 8.2.7. Nelle versioni precedenti la 8.2.7 sono emerse diverse vulnerabilità che riguardano il codice “core” di Drupal e che permetterebbero ad un aggressore di sfruttare le vulnerabilità da remoto per prendere il controllo del sistema affetto.

La più grave delle vulnerabilità, alla quale è stato associato il CVE-2017-6377, autorizzerebbe un attaccante ad accedere ai file contrassegnati come privati, allegati attraverso l’editor di testo che non verifica correttamente l’accesso ai file.

Altre due vulnerabilità, classificate come “moderatamente critiche“, sono causate rispettivamente dalla mancanza di protezione CSRF su alcuni percorsi amministrativi (CVE-2017-6379) e da una falla presente in una libreria di terze parti, inclusa tra le dipendenze di Drupal 8, che consentirebbe l’esecuzione di codice remoto (CVE-2017-6381).

Le versioni affette dai problemi elencati sono tutte le 8.x precedenti la 8.2.7.
In ragione delle criticità emerse si consiglia quanto prima di aggiornare il CMS alla versione 8.2.7.