Vulnerabilità altamente critica nel core Drupal

21/02/2019

CMS Drupal

Il team di sicurezza di Drupal ha emesso in data 20 Febbraio l’avviso di sicurezza SA-CORE-2019-003 relativo ad una vulnerabilità classificata di livello “Altamente Critico”  riscontrata sulle versioni del CMS Drupal 7.x e 8.x.

Dettagli della vulnerabilità

[SA-CORE-2019-003] – Drupal Core – Remote Code Excecution

  • Impatto: Molto Alto
  • Gravità: Molto Alta
  • Versioni Interessate: 7.x e 8.x
  • Versioni NON Interessate: 8.6.10 e 8.5.11
  • Tipo Exploit: Errata Validazione dei campi in input
  • CVE Number: CVE-2019-6340

Descrizione: Un filtraggio inadeguato di alcuni “Fileds” provenienti da fonti diverse da “Web-Form” può comportare l’esecuzione arbitraria di codice PHP in modalità remota. In particoale i siti realizzati in Drupal che sono affetti da questa vulnerabilità devono:

  • avere abilitato il modulo RESTful Web Services (rest) di Drupal 8 e consentire richieste PATCH o POST;
  • avere abilitato un altro modulo di servizi Web, come JSON: API in Drupal 8, oppure Servizi o RESTful Web Services in Drupal 7.

(Nota: il modulo Drupal 7 Services in sé non richiede un aggiornamento in questo momento, ma è necessario comunque applicare altri aggiornamenti se i servizi web services e le API Restfull sono in uso.)


Remediation

  • Se si utilizza Drupal 8.6.x eseguire l’aggiornamento alla versione di Drupal 8.6.10
  • Se si utilizza Drupal 8.5.x o precedente, eseguire l’aggiornamento a Drupal 8.5.11.
  • Se si utilizza Drupal 7 non è richiesto alcun aggiornamento di base, ma è richiesto l’aggiornamento di altri moduli.

Per mitigare immediatamente la vulnerabilità, è possibile disabilitare tutti i moduli dei servizi Web o configurare i server Web in modo da non consentire le richieste PUT / PATCH / POST alle risorse dei servizi Web.

Le versioni minori di Drupal 8 precedenti alla 8.5.x non sono supportate e non ricevono aggiornamenti di sicurezza, quindi i siti con versioni precedenti devono essere aggiornati immediatamente alla versione 8.5.x sopra riportata. Le versioni 8.5.x riceveranno aggiornamenti di sicurezza fino a maggio 2019.


Taggato  CMS Drupal