Dettagli della vulnerabilità

[SA-CORE-2019-003] – Drupal Core – Remote Code Excecution

• Impatto: Molto Alto
• Gravità: Molto Alta
• Versioni Interessate: 7.x e 8.x
• Versioni NON Interessate: 8.6.10 e 8.5.11
• Tipo Exploit: Errata Validazione dei campi in input
• CVE Number: CVE-2019-6340

Descrizione: Un filtraggio inadeguato di alcuni “Fileds” provenienti da fonti diverse da “Web-Form” può comportare l’esecuzione arbitraria di codice PHP in modalità remota. In particoale i siti realizzati in Drupal che sono affetti da questa vulnerabilità devono:

• avere abilitato il modulo RESTful Web Services (rest) di Drupal 8 e consentire richieste PATCH o POST;
• avere abilitato un altro modulo di servizi Web, come JSON: API in Drupal 8, oppure Servizi o RESTful Web Services in Drupal 7.

(Nota: il modulo Drupal 7 Services in sé non richiede un aggiornamento in questo momento, ma è necessario comunque applicare altri aggiornamenti se i servizi web services e le API Restfull sono in uso.)

Remediation

• Se si utilizza Drupal 8.6.x eseguire l’aggiornamento alla versione di Drupal 8.6.10
• Se si utilizza Drupal 8.5.x o precedente, eseguire l’aggiornamento a Drupal 8.5.11.
• Se si utilizza Drupal 7 non è richiesto alcun aggiornamento di base, ma è richiesto l’aggiornamento di altri moduli.

Per mitigare immediatamente la vulnerabilità, è possibile disabilitare tutti i moduli dei servizi Web o configurare i server Web in modo da non consentire le richieste PUT / PATCH / POST alle risorse dei servizi Web.