Vulnerabilità nel Core Drupal – Rilasciato Avviso di Sicurezza

18/07/2019

CMS Drupal Vulnerabilità

Il team di sicurezza di Drupal ha emesso in data 17 luglio 2019 l’avviso di  sicurezza SA-CORE-2019-008 relativo ad una vulnerabilità classificata di livello “critico” riguardante il modulo sperimentale Workspaces del Core Drupal che potrebbe consentire ad un attaccante remoto di prendere il controllo di un sito target che usa Drupal come CMS.

L’aggiornamento rilasciato da Drupal corregge la seguente vulnerabilità

[SA-CORE-2019-0078] – Drupal Core –Access bypass

  • Gravità: Critico
  • Tipo di vulnerabilità: Access bypass
  • CVE: 2019-6342
  • Descrizione: la vulnerabilità interessa solo la versione Drupal 8.7.4 con il modulo sperimentale Workspaces abilitato.  I moduli sperimentali sono stati introdotti nel core di Drupal 8 a scopo di testing, ma non sono ancora pienamente supportati. Questi possono essere abilitati dalla pagina “Extend” del sito Drupal (/admin/modules). La vulnerabilità, di cui non vi sono ancora evidenze di sfruttamento, potrebbe causare una condizione di “bypass access”, quindi un eventuale attaccante potrebbe utilizzarla per accedere al sistema senza autenticazione. Per i siti che hanno il modulo Workspaces abilitato, deve essere eseguito update.php per assicurarsi di avere la cache pulita. Questo vale anche nel caso si utilizzi un reverse proxy o un content delivery network (ad esempio Varnish o CloudFlare) .

Remediation

  • Se si utilizza Drupal 8.7.4 eseguire l’aggiornamento alla versione di Drupal 8.7.5