Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamento di sicurezza critico per Drupal 8

CMS  cross-site request forgery  Drupal  remote code execution   giovedì, 16 marzo 2017

Lo scorso 15 marzo è stato rilasciato un aggiornamento di sicurezza che risolve tre vulnerabilità critiche nel codice “core” del noto CMS Drupal versione 8.x.

Dettagli delle vulnerabilità (in Inglese):

  • [Critical] Editor module incorrectly checks access to inline private files  (CVE-2017-6377).
  • [Moderately Critical] Some admin paths were not protected with a CSRF token (CVE-2017-6379).
  • [Moderately Critical] Remote code execution (CVE-2017-6381).

Risultano affette da questa vulnerabilità le versioni di Drupal core 8.x precedenti la 8.2.7.

Si raccomanda a tutti i gestori di siti Web che utilizzano questo CMS di aggiornare prima possibile la propria piattaforma.

Per maggiori dettagli sul problema di sicurezza risolto con questo aggiornamento è possibile consultare il bollettino relativo nella sezione Security Advisories del sito di Drupal (in Inglese):

Notizie correlate

Avviso di sicurezza di Microsoft per falla critica 0-day in Internet Explorer

20 gennaio 2020

Microsoft ha rilasciato un avviso di sicurezza relativo ad una vulnerabilità critica zero-day in Internet Explorer che può causare l’esecuzione di codice arbitrario da remoto.Leggi tutto

Grave Vulnerabilità 0-Day su Citrix NetScaler e ADC

13 gennaio 2020

È stata recentemente individuata una grave vulnerabilità zero-day nei prodotti Citrix NetScaler, Citrix Application Delivery Controller (ADC) e Citrix Gateway.Leggi tutto

Aggiornamenti di sicurezza per prodotti Juniper Networks (gennaio 2020)

10 gennaio 2020

Juniper Networks ha pubblicato una serie di bollettini di sicurezza relativi a vulnerabilità multiple scoperte in svariati prodotti software, tra cui alcune di gravità elevata in Junos OS.Leggi tutto