Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamento di sicurezza critico per Drupal 8

CMS  cross-site request forgery  Drupal  remote code execution   giovedì, 16 marzo 2017

Lo scorso 15 marzo è stato rilasciato un aggiornamento di sicurezza che risolve tre vulnerabilità critiche nel codice “core” del noto CMS Drupal versione 8.x.

Dettagli delle vulnerabilità (in Inglese):

  • [Critical] Editor module incorrectly checks access to inline private files  (CVE-2017-6377).
  • [Moderately Critical] Some admin paths were not protected with a CSRF token (CVE-2017-6379).
  • [Moderately Critical] Remote code execution (CVE-2017-6381).

Risultano affette da questa vulnerabilità le versioni di Drupal core 8.x precedenti la 8.2.7.

Si raccomanda a tutti i gestori di siti Web che utilizzano questo CMS di aggiornare prima possibile la propria piattaforma.

Per maggiori dettagli sul problema di sicurezza risolto con questo aggiornamento è possibile consultare il bollettino relativo nella sezione Security Advisories del sito di Drupal (in Inglese):

Notizie correlate

Vulnerabilità multiple 0-day in VxWorks

1 agosto 2019

Sono state scoperte 11 gravi vulnerabilità zero-day nei sistemi operativi VxWorks prodotti da Wind River che possono consentire l'esecuzione di codice da remoto.Leggi tutto

Grave Vulnerabilità in ProFTPd

25 luglio 2019

È stata scoperta una grave vulnerabilità di tipo esecuzione di codice da remoto nell’applicativo ProFTPd.Leggi tutto

Vulnerabilità critica in VLC media player

24 luglio 2019

È stata recentemente scoperta una vulnerabilità critica in VideoLAN VLC media player che può consentire l'esecuzione di codice arbitrario.Leggi tutto