Vulnerabilità altamente critica nel core Drupal
CMS Drupal
Il team di sicurezza di Drupal ha emesso in data 20 Febbraio l’avviso di sicurezza SA-CORE-2019-003 relativo ad una vulnerabilità classificata di livello “Altamente Critico” riscontrata sulle versioni del CMS Drupal 7.x e 8.x.
Dettagli della vulnerabilità
[SA-CORE-2019-003] – Drupal Core – Remote Code Excecution
- Impatto: Molto Alto
- Gravità: Molto Alta
- Versioni Interessate: 7.x e 8.x
- Versioni NON Interessate: 8.6.10 e 8.5.11
- Tipo Exploit: Errata Validazione dei campi in input
- CVE Number: CVE-2019-6340
Descrizione: Un filtraggio inadeguato di alcuni “Fileds” provenienti da fonti diverse da “Web-Form” può comportare l’esecuzione arbitraria di codice PHP in modalità remota. In particoale i siti realizzati in Drupal che sono affetti da questa vulnerabilità devono:
- avere abilitato il modulo RESTful Web Services (rest) di Drupal 8 e consentire richieste PATCH o POST;
- avere abilitato un altro modulo di servizi Web, come JSON: API in Drupal 8, oppure Servizi o RESTful Web Services in Drupal 7.
(Nota: il modulo Drupal 7 Services in sé non richiede un aggiornamento in questo momento, ma è necessario comunque applicare altri aggiornamenti se i servizi web services e le API Restfull sono in uso.)
Remediation
- Se si utilizza Drupal 8.6.x eseguire l’aggiornamento alla versione di Drupal 8.6.10
- Se si utilizza Drupal 8.5.x o precedente, eseguire l’aggiornamento a Drupal 8.5.11.
- Se si utilizza Drupal 7 non è richiesto alcun aggiornamento di base, ma è richiesto l’aggiornamento di altri moduli.
Per mitigare immediatamente la vulnerabilità, è possibile disabilitare tutti i moduli dei servizi Web o configurare i server Web in modo da non consentire le richieste PUT / PATCH / POST alle risorse dei servizi Web.
Le versioni minori di Drupal 8 precedenti alla 8.5.x non sono supportate e non ricevono aggiornamenti di sicurezza, quindi i siti con versioni precedenti devono essere aggiornati immediatamente alla versione 8.5.x sopra riportata. Le versioni 8.5.x riceveranno aggiornamenti di sicurezza fino a maggio 2019.