De acordo com os alertas publicados hoje pelos desenvolvedores do Drupal, todas as vulnerabilidades de segurança corrigidas pelo Drupal este mês residem em bibliotecas de terceiros incluídas no Drupal 8.6, Drupal 8.5 ou anterior e Drupal 7.
Uma das falhas de segurança é um script entre sites. (XSS) vulnerabilidade que reside em um plug-in de terceiros, chamado JQuery, a biblioteca JavaScript mais popular que está sendo usada por milhões de sites e também vem pré-integrada no Drupal Core.
Na semana passada, a JQuery lançou sua última versão do jQuery 3.4.0 para corrigir a vulnerabilidade relatada, que ainda não atribuiu um número CVE, que afeta todas as versões anteriores da biblioteca até essa data.
"O jQuery 3.4.0 inclui uma correção para algum comportamento não intencional ao usar jQuery.extend (true, {}, ...). Se um objeto de origem não-anulado contivesse uma propriedade __proto__ enumerável, ele poderia estender o Object.prototype nativo," assessoria explica.
"É possível que esta vulnerabilidade seja explorada com alguns módulos do Drupal."
As outras três vulnerabilidades de segurança residem nos componentes do Symfony PHP usados pelo Drupal Core que podem resultar em scripts entre sites (CVE-2019-10909), execução remota de código (CVE-2019-10910) e bypass de autenticação (CVE-2019-1091) ataques.
Considerando a popularidade das explorações do Drupal entre hackers, é altamente recomendado que você instale a última atualização do CMS assim que possível:
- Se você estiver usando o Drupal 8.6, atualize para o Drupal 8.6.15.
- Se você estiver usando o Drupal 8.5 ou anterior, atualize para o Drupal 8.5.15.
- Se você estiver usando o Drupal 7, atualize para o Drupal 7.66.
Quase dois meses atrás, os mantenedores do Drupal corrigiram uma vulnerabilidade crítica de RCE no Drupal Core sem liberar quaisquer detalhes técnicos da falha que poderiam permitir que atacantes remotos invadissem o site de seus clientes.
Mas, apesar disso, o código de exploração da prova de conceito (PoC) para a vulnerabilidade foi disponibilizado publicamente na Internet apenas dois dias depois que a equipe lançou a versão corrigida de seu software.
E então, vários indivíduos e grupos de hackers começaram a explorar ativamente a falha para instalar mineradores de criptomoedas em sites vulneráveis do Drupal que não atualizaram seus CMSs para a versão mais recente.
No ano passado, os invasores também atacaram centenas de milhares de sites do Drupal em ataques em massa usando explorações selvagens que utilizavam duas vulnerabilidades críticas separadas de execução remota de código, chamadas Drupalgeddon2 e Drupalgeddon3 .
Nesses casos também, os ataques começaram logo após o código de exploração do PoC para ambas as vulnerabilidades ser publicado na Internet, que foi então seguido por tentativas de varredura e exploração da Internet em larga escala.
Longa história curta - Patch seus sites antes que seja tarde demais.
