O especialista em segurança encontrou uma vulnerabilidade “altamente crítica” (CVE-2019-6340) no popular Drupal CMS que poderia ser explorada para execução remota de código.
O Drupal lançou atualizações de segurança que Endereços uma vulnerabilidade “altamente crítica” no popular Drupal CMS, rastreado como CVE-2019-6340, que poderia ser explorado para execução remota de código.
A falha CVE-2019-6340 é causada pela falta de sanitização de dados adequada em alguns tipos de campo, um invasor pode explorar a falha para executar código PHP arbitrário.
“Alguns tipos de campos não sanitizam adequadamente os dados deFormato fontes. Isso pode levar à execução de código PHP arbitrário em alguns casos ”, diz o comunicado de segurança publicado pelo Drupal.
A falha foi descoberta por Samuel Mortenson, da Equipe de Segurança Drupal.
Para explorar a falha CVE-2019-6340, é necessário que o módulo principal dos Serviços Web RESTful esteja habilitado e permita solicitações PATCH ou POST. Também é possível acionar a vulnerabilidade se outro módulo de serviços da Web estiver ativado, como o JSON: AP Eu no Drupal 8 ou serviços da Web RESTful ou serviços no Drupal 7.
O Drupal lançou o Drupal 8.6.10 e 8.5.11 para resolver a vulnerabilidade. O Drupal 7 não precisa ser atualizado, mas especialistasungido Existem algumas atualizações para os módulos do Drupal 7 que devem ser instalados.
"Para mitigar imediatamente a vulnerabilidade, você pode desabilitar todos os módulos de serviços da Web ou configurar seu (s) servidor (es) web para não permitir solicitações PUT / PATCH / POST para recursos de serviços da Web", continua o comunicado.
“Observe que os recursos de serviços da Web podem estar disponíveis em vários caminhos, dependendo da configuração de seu (s) servidor (es). Para o Drupal 7, os recursos são, por exemplo, normalmente disponíveis por meio de caminhos (URLs limpas) e por meio de argumentos para o argumento de consulta 'q'. Para o Drupal 8, os caminhos ainda podem funcionar quando prefixados com index.php /. ”
Os usuários do Drupal devem instalar as atualizações o mais rápido possível.
