Drupal va emetre dos avisos de seguretat advertint d’una vulnerabilitat que afecta diverses versions de Drupal que podria permetre a un atacant accedir a informació sensible.
Actualment hi ha dues vulnerabilitats que afecten Drupal. Un està classificat com a vulnerabilitat crítica d’alta gravetat.
Vulnerabilitat a la biblioteca de tercers
Drupal utilitza un motor de plantilles de tercers anomenat Twig.
Segons la documentació de Drupal:
“Quan es renderitza la vostra pàgina web, el motor Twig agafa la plantilla i la converteix en una plantilla PHP “compilada” que s’emmagatzema en un directori protegit…”
Drupal utilitza la biblioteca Twig per a la creació de plantilles, però també per a un procés anomenat desinfecció, que és una manera d’evitar que es carreguin fitxers maliciosos.
Twig descriu les vulnerabilitats com una que permet a un atacant utilitzar el carregador del sistema de fitxers per accedir a fitxers sensibles.
Drupal adverteix:
“Són possibles múltiples vulnerabilitats si un usuari no fiable té accés per escriure codi Twig, inclòs un possible accés de lectura no autoritzat a fitxers privats, el contingut de
altres fitxers al servidor o credencials de la base de dades”.
Aquesta vulnerabilitat afecta els usuaris de Drupal 9.3 i 9.4.
Curs d’acció recomanat per mitigar la vulnerabilitat
Es recomana als usuaris de Drupal 9.3 que actualitzin a la versió 9.3.22.
Es recomana als usuaris de Drupal 9.4 que actualitzin a la versió 9.4.7.
Vulnerabilitat moderada
Drupal també va advertir d’una vulnerabilitat de bypass d’accés que es classifica com a moderada que afecta els editors que utilitzen el mòdul del sistema de fitxers S3 per a Drupal 7.x.
Una vulnerabilitat de bypass d’accés és aquella en què un atacant és capaç de saltar les barreres d’autenticació i l’accés a una aplicació i fitxers sensibles que no haurien de fer.
en cas contrari tingueu accés.
La vulnerabilitat es descriu com:
“El mòdul no impedeix prou l’accés als fitxers a través de diversos esquemes de sistemes de fitxers emmagatzemats al mateix cub”.
L’avís assenyala que aquesta vulnerabilitat es veu mitigada per diversos passos que s’han de fer abans que un atacant pugui accedir.
L’avís explica:
“Aquesta vulnerabilitat es veu mitigada pel fet que un atacant ha d’obtenir un mètode per accedir a rutes de fitxers arbitraris, el lloc ha de tenir habilitada la presa de control pública o privada i la memòria cau de metadades del fitxer s’ha d’ignorar”.
Curs d’acció recomanat
Es recomana als usuaris de Drupal que utilitzen el mòdul S3 File System per a Drupal 7.x que actualitzin a S3 File System 7.x-2.14 per tal de corregir la vulnerabilitat.
Citacions
Nucli de Drupal – Crític – Vulnerabilitats múltiples – SA-CORE-2022-016
Sistema de fitxers S3 – Moderadament crític – Omissió d’accés – SA-CONTRIB-2022-057
Imatge destacada de Shutterstock/Andrey_Popov