Dettaglio News Dettaglio News

Drupal avviso di sicurezza SA-CORE-2017-004
17/08/2017

DrupalIl team di gestione di Drupal ha emesso, in data 16 Agosto 2016, l'avviso di sicurezza SA-CORE-2017-004 relativo a tre vulnerabilità di livello "Critico" riscontrate in Drupal 8. Di seguito il dettaglio.

Modulo Views - CVE-2017-6923

Al momento della creazine di una nuova "vista" è possibile decidere di utilizzare il modulo "Ajax" per l'aggiornamento dei dati della vista stessa. Tuttavia il modulo Views non restringe l'accesso ai dati caricati via modulo "Ajax" alle sole viste per cui questo è configurato.

La vulnerabilità può essere mitigata da restrizioni di accesso sulla vista stessa.

REST API - CVE-2017-9624

Tramite l'utilizzo delle API REST, un utente non autorizzato alla pubblicazione di un commento è in grado di bypassare tale restrizione arrivando alla pubblicazione immediata del contenuto inviato all'applicazione.

La vulnerabilità affligge i siti che hanno il modulo RESTful attivo configurato con la possibilità di inviare commenti via REST API.

Entity access bypass - CVE-2017-6925

È stata riscontrata una vulnerabilità tale che un malintenzionato sia in grado di accedere in maniera non autorizzata ad entità di sistema che non abbiamo un proprio UUID (Universally Unique Identifier). La vulnerabiltà consente l'accesso non autorizzato, la creazione, l'aggiornamento e la cancellazione di entità di sistema.

Versioni vulnerabili

Risultano vulnerabili tutte le versini di Drupal 8.x precedenti alla 8.3.7

Soluzione

Aggiornamento alla versione 8.3.7.

Drupal Infosec