Drupal adverteix de múltiples vulnerabilitats crítiques


Drupal va emetre un avís de seguretat de quatre vulnerabilitats crítiques classificades de moderadament crític a crític. Les vulnerabilitats afecten les versions de Drupal 9.3 i 9.4.

L’avís de seguretat va advertir que les diferents vulnerabilitats podrien permetre a un pirata informàtic executar codi arbitrari, posant en perill un lloc i un servidor.

Aquestes vulnerabilitats no afecten la versió 7 de Drupal.

A més, totes les versions de Drupal anteriors a la 9.3.x han arribat a l’estat de final de vida, la qual cosa significa que ja no reben actualitzacions de seguretat, la qual cosa fa que el seu ús sigui perillós.

Vulnerabilitat crítica: execució arbitrària de codi PHP

Una vulnerabilitat arbitrària d’execució de codi PHP és aquella en què un atacant és capaç d’executar ordres arbitràries en un servidor.

La vulnerabilitat va sorgir sense voler a causa de dues funcions de seguretat que se suposa que bloquegen la càrrega de fitxers perillosos, però que van fallar perquè no funcionaven bé junts, donant lloc a la vulnerabilitat crítica actual que pot provocar una execució de codi remota.

Segons Drupal:

“…les proteccions per a aquestes dues vulnerabilitats anteriorment no funcionaven correctament juntes.

Com a resultat, si el lloc es configura per permetre la càrrega de fitxers amb una extensió htaccess, els noms de fitxers d’aquests fitxers no estarien desinfectats correctament.

Això podria permetre evitar les proteccions proporcionades pels fitxers .htaccess predeterminats del nucli de Drupal i la possible execució de codi remota als servidors web Apache.

Una execució de codi remota és quan un atacant és capaç d’executar un fitxer maliciós i fer-se càrrec d’un lloc web o de tot el servidor. En aquest cas concret, l’atacant és capaç d’atacar el propi servidor web quan executa el programari del servidor web Apache.

Apache és un programari de servidor web de codi obert sobre el qual s’executa tota la resta, com PHP i WordPress. És essencialment la part del programari del propi servidor.

Vulnerabilitat de bypass d’accés

Aquesta vulnerabilitat, qualificada com a moderadament crítica, permet a un atacant modificar dades a les quals se suposa que no ha de tenir accés.

Segons l’avís de seguretat:

“En determinades circumstàncies, l’API del formulari bàsic de Drupal avalua l’accés als elements del formulari de manera incorrecta.

… No se sap que cap formulari proporcionat pel nucli de Drupal sigui vulnerable. Tanmateix, els formularis afegits mitjançant mòduls o temes aportats o personalitzats es poden veure afectats.

Vulnerabilitats múltiples

Drupal va publicar un total de quatre avisos de seguretat:

Aquest avís adverteix de múltiples vulnerabilitats que afecten Drupal i que poden exposar un lloc a diferents tipus d’atacs i resultats.

Aquests són alguns dels problemes potencials:

  • Execució arbitrària de codi PHP
  • Scripting entre llocs
  • Galetes filtrades
  • Vulnerabilitat Bypass d’accés
  • Accés a dades no autoritzat
  • Vulnerabilitat de la divulgació d’informació

Es recomana actualitzar Drupal

L’avís de seguretat de Drupal recomanava actualitzar immediatament les versions 9.3 i 9.4.

Els usuaris de Drupal versió 9.3 haurien d’actualitzar a la versió 9.3.19.

Els usuaris de Drupal versió 9.4 haurien d’actualitzar a la versió 9.4.3.

Citació

Assessoraments de seguretat bàsics de Drupal

Nucli de Drupal – Crític – Execució de codi PHP arbitrària

Imatge destacada de Shutterstock/solarseven





Source link

Drupal adverteix de múltiples vulnerabilitats crítiques
A %d bloguers els agrada això: