Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamento di sicurezza critico per Drupal 8

CMS  Drupal  remote code execution   venerdì, 22 febbraio 2019

Nella giornata del 20 febbraio 2019 è stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità considerata “highly critical” (CVE-2019-6340) nel codice “core” del noto CMS Drupal versione 8.x.

La vulnerabilità è legata ad un problema di “sanificazione” dei dati provenienti da sorgenti diverse da un form. Se sfruttata con successo, questa vulnerabilità può consentire in alcune circostanze ad un attaccante di eseguire codice PHP arbitrario da remoto su un sito Drupal.

L’attacco è possibile solo nei casi seguenti:

  • sul sito è abilitato il modulo RESTful Web Services (rest) di Drupal 8 e sono consentite richieste PATCH o POST;
  • sul sito è abilitato un altro modulo web services, come JSON:API in Drupal 8 o Services o RESTful Web Services in Drupal 7.

Questa vulnerabilità è stata risolta nelle seguenti versioni di Drupal:

  • Drupal 8.6.10
  • Drupal 8.5.11
Non è necessario aggiornare il “core” di Drupal 7, anche se diversi moduli di terze parti potrebbero necessitare di patch specifiche.

Si raccomanda a tutti i gestori di siti Web che utilizzano questo CMS di aggiornare prima possibile la propria piattaforma.

Per maggiori dettagli sulla vulnerabilità e sugli aggiornamenti disponibili è possibile consultare il bollettino relativo nella sezione Security Advisories del sito di Drupal (in Inglese):

Notizie correlate

Aggiornamento di sicurezza critico per Drupal 7 e 8

13 maggio 2019

È stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità considerata "moderately critical" nel codice "core" del noto CMS Drupal versione 7.x e 8.x.Leggi tutto

Risolta vulnerabilità di tipo XSS in Joomla! 3.9.6

8 maggio 2019

Il Joomla! Project ha rilasciato la versione 3.9.6 del suo CMS che risolve una vulnerabilità di tipo cross-site scripting nel codice "core" dell'applicazione.Leggi tutto

Aggiornamento di sicurezza Android (maggio 2019)

7 maggio 2019

Google ha rilasciato l'aggiornamento di sicurezza di maggio che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto