Una nueva vulnerabilidad ha sido descubierta, CVE-2018 a 14773, que afecta Drupal, el sistema de gestión de contenidos de código abierto populares. Más específicamente, la vulnerabilidad reside en un componente de una biblioteca de terceros llamado componente Fundación Symfony Http. El componente es parte de Drupal Core, con versiones 8.x Drupal afectados antes de la versión 8.5.6.
Descripción oficial del CVE-2018-14773
Soporte para una (legado) cabecera IIS que permite a los usuarios anulan la ruta en la URL de solicitud a través de la X-Original-URL o X-reescritura de URL encabezado de solicitud HTTP permite al usuario acceder a una URL, sino que tenga Symfony devolver una diferente que puede pasar por alto las restricciones a las cachés de nivel más alto y servidores Web.
También hay que señalar que, ya que Symfony, el framework de aplicaciones web con un conjunto de componentes PHP, está siendo utilizado por una gran cantidad de proyectos, la falla podría potencialmente poner muchas aplicaciones web en riesgo de piratería. un atacante remoto podría explotar la falla a través de una ‘X-Original-URL especialmente diseñada’ o ‘X-reescritura de URL’ valor de encabezado HTTP, que anula la ruta en la URL de solicitud y podría eludir las restricciones de acceso. Como resultado, el sistema de destino podría hacer una URL diferente.
Afortunadamente, CVE-2018 a 14773 ha sido corregido en la versión de Symfony 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14, y 4.1.3. Drupal también ha parcheado el defecto en su última versión de Drupal 8.5.6.
CVE-2018-14.773 lso encontrado en en el Marco de Zend
La misma vulnerabilidad también existe en el Zend RSS y bibliotecas Diactoros incluido en el núcleo de Drupal, investigadores prevenido. Tenga en cuenta que el núcleo de Drupal no utiliza la funcionalidad vulnerables. Sin embargo, si un sitio o módulo utiliza RSS Zend o directamente Diactoros, el administrador del sitio debe hacer referencia a la seguridad de Zend Framework consultivo.
Drupal fue criticado recientemente debido a una serie de problemas de seguridad críticos que los investigadores denominaron Drupalgeddon.
En abril, otra remota de código de errores de ejecución Drupalgeddon fue descubierto en el sistema de gestión de contenidos. Identificada como CVE-2018-7602, la vulnerabilidad muy crítico afectada Drupal versiones 7.x y 8.x. El error fue explotada de forma activa en la naturaleza.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: