Dettaglio News Dettaglio News

Vulnerabilità in Drupal 7 e 8
22/06/2017
Sono disponibili gli aggiornamenti di sicurezza per Drupal 8 (versione 8.3.4) e Drupal 7 (versione 7.56) che contengono correzioni per vulnerabilità di sicurezza che potrebbero consentire a un attaccante remoto di prendere il controllo dell'applicazione affetta.

CVE-2017-6920 - Drupal 8
La versione Drupal 8.3.4 risolve un problema piuttosto critico inerente il modo in cui il parser PECL YAML gestisce gli oggetti PHP durante le operazioni che coinvolgono il core di Drupal. Un utente malintenzionato può sfruttare la vulnerabilità per eseguire codice remoto.

CVE-2017-6921 - Drupal 8
La componente che si occupa di gestire le richieste REST non convalida correttamente alcuni parametri se adeguatamente manipolati. La vulnerabilità interessa i siti sviluppati con CMS Drupal 8 che dispongono del modulo RESTful Web Services abilitato e accettano richieste PATCH, consentendo a un utente malintenzionato di registrare una nuova utenza sul sito affetto con le autorizzazioni per caricare file. Il meccanismo è simile a quanto già visto nel mese di Aprile.

CVE-2017-6922 - Drupal 7 e 8
I siti Drupal 7 e 8 che permettono agli utenti anonimi di caricare file su un filesystem privato dovrebbero consentirne la visibilità solo all'utente anonimo che li ha caricati, piuttosto che a tutti gli utenti che conoscono il percorso esatto per raggiungere il file. Il team di sicurezza Drupal ha avuto evidenza di attacchi che hanno sfruttato questa problematica già nel mese di ottobre 2016. Ulteriore evidenza del security team di Drupal conferma che, in alcuni casi, la vulnerabilità è stata utilizzata per veicolare spam. 

Un problema di sicurezza questo che può essere sfruttato per ospitare software malevolo sul sito, danneggiando oltre i visitatori anche la reputazione aziendale e il ranking che i motori di ricerca associano al sito.

Per risolvere le vulnerabilità di sicurezza sopra elencate, è vivamente consigliato procedere con l'upgrade di Drupal nelle versioni 8.3.4 o 7.56.