Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamento di sicurezza critico per Drupal 8

CMS  Drupal  remote code execution   venerdì, 22 febbraio 2019

Nella giornata del 20 febbraio 2019 è stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità considerata “highly critical” (CVE-2019-6340) nel codice “core” del noto CMS Drupal versione 8.x.

La vulnerabilità è legata ad un problema di “sanificazione” dei dati provenienti da sorgenti diverse da un form. Se sfruttata con successo, questa vulnerabilità può consentire in alcune circostanze ad un attaccante di eseguire codice PHP arbitrario da remoto su un sito Drupal.

L’attacco è possibile solo nei casi seguenti:

  • sul sito è abilitato il modulo RESTful Web Services (rest) di Drupal 8 e sono consentite richieste PATCH o POST;
  • sul sito è abilitato un altro modulo web services, come JSON:API in Drupal 8 o Services o RESTful Web Services in Drupal 7.

Questa vulnerabilità è stata risolta nelle seguenti versioni di Drupal:

  • Drupal 8.6.10
  • Drupal 8.5.11
Non è necessario aggiornare il “core” di Drupal 7, anche se diversi moduli di terze parti potrebbero necessitare di patch specifiche.

Si raccomanda a tutti i gestori di siti Web che utilizzano questo CMS di aggiornare prima possibile la propria piattaforma.

Per maggiori dettagli sulla vulnerabilità e sugli aggiornamenti disponibili è possibile consultare il bollettino relativo nella sezione Security Advisories del sito di Drupal (in Inglese):

Notizie correlate

Risolta vulnerabilità critica in WordPress 5.1.1

14 marzo 2019

È stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità critica del noto CMS WordPress, presente nelle versioni fino alla 5.1.Leggi tutto

Risolte diverse vulnerabilità in Joomla! 3.9.4

13 marzo 2019

Il Joomla! Project ha rilasciato la versione 3.9.4 del suo CMS che risolve 4 vulnerabilità, di cui una di gravità elevata, nel codice "core" dell'applicazione. Leggi tutto

Aggiornamenti di sicurezza critici per Adobe Digital Editions e Photoshop CC

13 marzo 2019

Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Digital Editions e per Adobe Photoshop CC che risolvono due vulnerabilità critiche che potrebbero consentire l'esecuzione di codice arbitrario nel contesto dell'utente corrente.Leggi tutto