Vulnerabilità nel “Core” Drupal – Avviso di Sicurezza SA-CORE-2018-006

18/10/2018

CMS Drupal

Il team di sicurezza di Drupal ha emesso in data 17 Ottobre 2018 l’avviso di sicurezza SA-CORE-2018-006 relativo ad una serie di vulnerabilità classificate di livello “Critico” e “Moderatamente Critico” riscontrate sulle versioni del CMS Drupal 7.x e 8.x.

L’aggiornamento rilasciato da Drupal corregge le seguenti vulnerabilità:

“Content Moderation”

In alcune condizioni, la “Content Moderation” non riesce a controllare l’accesso degli utenti all’uso di determinate transizioni, portando a un bypass di accesso. Per risolvere questo problema, sono state apportate modifiche alla “Content Moderation” che potrebbero avere implicazioni di retro compatibilità.


“External Url Injection – Open Redirect”

Il “Path Module” consente agli utenti con “Administer Paths” di creare “Pretty URL” per i contenuti.
In determinate circostanze, l’utente può immettere un particolare “Path” che attiva un “Open Redirect” a una URL dannosa.
Il problema è mitigato dal fatto che l’utente ha bisogno degli “Administer paths” per sfruttare la vulnerabilità.


“Anonymous Open Redirect”

Il core di Drupal e i “contributed modules” utilizzano di frequente il parametro destinazione “HTTP GET” per reindirizzare gli utenti a una nuova destinazione dopo aver completato un’azione nella pagina corrente. In determinate circostanze, gli utenti malintenzionati possono utilizzare questo parametro per costruire una URL che indurrà gli utenti ad essere reindirizzati verso un sito Web di terze parti, esponendo in tal modo gli utenti a potenziali attacchi di social engineering.
Questa vulnerabilità è stata documentata pubblicamente.


“Injection in DefaultMailSystem”

Durante l’invio di e-mail alcune variabili non venivano correttamente “gestite” per gli argomenti della shell, il che poteva portare all’esecuzione di codice in modalità remota.


“Contextual Link Validation – Remote Code Execution”

Il modulo “Contextual Link Validation” non valida correttamente i “Contextual Link” .
Questa vulnerabilità è attenuata dal fatto che un utente malintenzionato deve avere un ruolo con i permessi di “Access Contextual Links” per operare.


Remediation

Aggiornare alla versione più recente di Drupal 7 o 8 core.

  • Se si esegue 7.x, eseguire l’aggiornamento a Drupal 7.60.
  • Se si esegue 8.6.x, eseguire l’aggiornamento a Drupal 8.6.2.
  • Se si esegue 8.5.x o precedente, eseguire l’aggiornamento a Drupal 8.5.8.

Le versioni minori di Drupal 8 precedenti alla 8.5.x non sono supportate e non ricevono aggiornamenti di sicurezza, quindi i siti con versioni precedenti devono essere aggiornati immediatamente alla versione 8.5.x sopra riportata. Le versioni 8.5.x riceveranno aggiornamenti di sicurezza fino a maggio 2019.

Taggato  CMS Drupal