Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamento di sicurezza per Drupal 8

Drupal   venerdì, 3 agosto 2018

Nella giornata del primo agosto 2018 è stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità (CVE-2018-14773) nel codice core del noto CMS Drupal versione 8.x.

La vulnerabilità è presente nella libreria di terze parti Symfony e può essere sfruttata mediante richieste HTTP contenenti header obsoleti che permettono di modificare l’URL della richiesta originale. In questo modo, un utente malintenzionato potrebbe potenzialmente accedere a risorse protette aggirando le restrizioni di sicurezza del server Web.

La stessa vulnerabilità è presente anche nel codice delle librerie Zend Feed e Diactoros incluse nel core di Drupal, anche se la funzionalità vulnerabile non viene utilizzata dal CMS.

Questa vulnerabilità è stata risolta nella versione 8.5.6 di Drupal.

Si raccomanda a tutti i gestori di siti Web che utilizzano questo CMS di aggiornare prima possibile la propria piattaforma.

Per maggiori dettagli sulla vulnerabilità e sugli aggiornamenti disponibili è possibile consultare i seguenti bollettini di sicurezza di Drupal e Symfony (in Inglese):

Notizie correlate

Aggiornamento di sicurezza critico per Drupal 7 e 8

18 ottobre 2018

È stato rilasciato un aggiornamento di sicurezza che risolve diverse vulnerabilità critiche nel codice "core" del noto CMS Drupal versione 7.x e 8.x.Leggi tutto

Risolta nuova vulnerabilità critica nel CMS Drupal sfruttata in attacchi reali

26 aprile 2018

È stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità considerata "highly critical" nel codice "core" del noto CMS Drupal versione 7.x e 8.x.Leggi tutto

Vulnerabilità critica di CKEditor in Drupal 7 e 8

19 aprile 2018

È stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità considerata "moderately critical" in CKEditor, una libreria JavaScript inclusa nel CMS Drupal versione 7.x e 8.x.Leggi tutto