Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamento di sicurezza per Drupal 8

Drupal   venerdì, 3 agosto 2018

Nella giornata del primo agosto 2018 è stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità (CVE-2018-14773) nel codice core del noto CMS Drupal versione 8.x.

La vulnerabilità è presente nella libreria di terze parti Symfony e può essere sfruttata mediante richieste HTTP contenenti header obsoleti che permettono di modificare l’URL della richiesta originale. In questo modo, un utente malintenzionato potrebbe potenzialmente accedere a risorse protette aggirando le restrizioni di sicurezza del server Web.

La stessa vulnerabilità è presente anche nel codice delle librerie Zend Feed e Diactoros incluse nel core di Drupal, anche se la funzionalità vulnerabile non viene utilizzata dal CMS.

Questa vulnerabilità è stata risolta nella versione 8.5.6 di Drupal.

Si raccomanda a tutti i gestori di siti Web che utilizzano questo CMS di aggiornare prima possibile la propria piattaforma.

Per maggiori dettagli sulla vulnerabilità e sugli aggiornamenti disponibili è possibile consultare i seguenti bollettini di sicurezza di Drupal e Symfony (in Inglese):

Notizie correlate

Aggiornamenti di sicurezza critici per Drupal 7 e 8

18 aprile 2019

Sono stati rilasciati aggiornamenti di sicurezza che risolvono due vulnerabilità considerate "moderatamente critiche" nel codice "core" del noto CMS Drupal versione 7.x e 8.x.Leggi tutto

Aggiornamento di sicurezza critico per Drupal 7 e 8

21 marzo 2019

È stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità considerata "moderately critical" nel codice "core" del noto CMS Drupal versione 7.x e 8.x.Leggi tutto

Aggiornamento di sicurezza critico per Drupal 8

22 febbraio 2019

È stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità considerata "highly critical" nel codice "core" del noto CMS Drupal versione 8.x.Leggi tutto