Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamento di sicurezza critico per Drupal 8

CMS  Drupal  remote code execution   venerdì, 22 febbraio 2019

Nella giornata del 20 febbraio 2019 è stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità considerata “highly critical” (CVE-2019-6340) nel codice “core” del noto CMS Drupal versione 8.x.

La vulnerabilità è legata ad un problema di “sanificazione” dei dati provenienti da sorgenti diverse da un form. Se sfruttata con successo, questa vulnerabilità può consentire in alcune circostanze ad un attaccante di eseguire codice PHP arbitrario da remoto su un sito Drupal.

L’attacco è possibile solo nei casi seguenti:

  • sul sito è abilitato il modulo RESTful Web Services (rest) di Drupal 8 e sono consentite richieste PATCH o POST;
  • sul sito è abilitato un altro modulo web services, come JSON:API in Drupal 8 o Services o RESTful Web Services in Drupal 7.

Questa vulnerabilità è stata risolta nelle seguenti versioni di Drupal:

  • Drupal 8.6.10
  • Drupal 8.5.11
Non è necessario aggiornare il “core” di Drupal, anche se diversi moduli di terze parti potrebbero necessitare di patch specifiche.

Si raccomanda a tutti i gestori di siti Web che utilizzano questo CMS di aggiornare prima possibile la propria piattaforma.

Per maggiori dettagli sulla vulnerabilità e sugli aggiornamenti disponibili è possibile consultare il bollettino relativo nella sezione Security Advisories del sito di Drupal (in Inglese):

Notizie correlate

Vulnerabilità multiple 0-day in VxWorks

1 agosto 2019

Sono state scoperte 11 gravi vulnerabilità zero-day nei sistemi operativi VxWorks prodotti da Wind River che possono consentire l'esecuzione di codice da remoto.Leggi tutto

Grave Vulnerabilità in ProFTPd

25 luglio 2019

È stata scoperta una grave vulnerabilità di tipo esecuzione di codice da remoto nell’applicativo ProFTPd.Leggi tutto

Vulnerabilità critica in VLC media player

24 luglio 2019

È stata recentemente scoperta una vulnerabilità critica in VideoLAN VLC media player che può consentire l'esecuzione di codice arbitrario.Leggi tutto