Drupal va anunciar dues vulnerabilitats que afecten les versions 9.2 i 9.3 que podrien permetre a un atacant carregar fitxers maliciosos i prendre el control d’un lloc. Els nivells d’amenaça de les dues vulnerabilitats es classifiquen com a moderadament crítics.
L’Agència de Ciberseguretat i Seguretat de la Infraestructura (CISA) dels Estats Units va advertir que els exploits podrien fer que un atacant prengués el control d’un lloc web vulnerable basat en Drupal.
CISA va declarar:
“Drupal ha publicat actualitzacions de seguretat per abordar les vulnerabilitats que afecten Drupal 9.2 i 9.3.
Un atacant podria explotar aquestes vulnerabilitats per prendre el control d’un sistema afectat”.
Drupal
Drupal és un popular sistema de gestió de continguts de codi obert escrit en el llenguatge de programació PHP.
Moltes organitzacions importants com Smithsonian Institution, Universal Music Group, Pfizer, Johnson & Johnson, Princeton University i Columbia University utilitzen Drupal per als seus llocs web.
API de formulari: validació d’entrada incorrecta
La primera vulnerabilitat afecta l’API del formulari de Drupal. La vulnerabilitat és una validació d’entrada incorrecta, la qual cosa significa que el que es carrega a través de l’API del formulari no es valida per saber si està permès o no.
Validar el que es penja o introdueix en un formulari és una pràctica recomanada habitual. En general, la validació d’entrada es fa amb un enfocament de llista de permetre on el formulari espera entrades específiques i rebutjarà qualsevol cosa que no es correspongui amb l’entrada o càrrega esperada.
Quan un formulari no valida una entrada, això deixa el lloc web obert a la càrrega de fitxers que poden desencadenar un comportament no desitjat a l’aplicació web.
L’anunci de Drupal explicava el problema específic:
“L’API de formularis del nucli de Drupal té una vulnerabilitat en què determinats formularis de mòduls contribuïts o personalitzats poden ser vulnerables a una validació d’entrada incorrecta. Això podria permetre a un atacant injectar valors no permesos o sobreescriure dades. Els formularis afectats són poc freqüents, però en determinats casos un atacant podria alterar dades crítiques o sensibles”.
Drupal Core – Bypass d’accés
El bypass d’accés és una forma de vulnerabilitat on pot haver-hi una manera d’accedir a una part del lloc a través d’un camí que no té una comprovació de control d’accés, de manera que, en alguns casos, un usuari pot accedir a nivells que no tenen. permisos per.
L’anunci de Drupal descrivia la vulnerabilitat:
“Drupal 9.3 va implementar una API genèrica d’accés a l’entitat per a les revisions d’entitats. Tanmateix, aquesta API no es va integrar completament amb els permisos existents, la qual cosa va provocar una possible omissió d’accés per als usuaris que tenen accés a utilitzar revisions de contingut en general, però que no tenen accés a elements individuals de nodes i contingut multimèdia.
S’ha animat als editors a revisar els avisos de seguretat i a aplicar actualitzacions
L’Agència de Ciberseguretat i Seguretat de la Infraestructura (CISA) dels Estats Units i Drupal animen els editors a revisar els avisos de seguretat i actualitzar-los a les últimes versions.
Citacions
Llegiu el Butlletí Oficial de Vulnerabilitat de CISA Drupal
Drupal publica actualitzacions de seguretat
Llegeix els dos anuncis de seguretat de Drupal
Nucli de Drupal – Moderament crític – Validació d’entrada incorrecta – SA-CORE-2022-008
Nucli de Drupal – Moderadament crític – Bypass d’accés – SA-CORE-2022-009
