Casa > Ciber Noticias > CVE-2018-14773 El defecto de Symfony afecta a las versiones 8.x-8.5.6 de Drupal
CYBER NOTICIAS

CVE-2018 a 14773 Symfony falla afecta a Drupal versiones 8.x-8.5.6


Una nueva vulnerabilidad ha sido descubierta, CVE-2018 a 14773, que afecta Drupal, el sistema de gestión de contenidos de código abierto populares. Más específicamente, la vulnerabilidad reside en un componente de una biblioteca de terceros llamado componente Fundación Symfony Http. El componente es parte de Drupal Core, con versiones 8.x Drupal afectados antes de la versión 8.5.6.




Descripción oficial del CVE-2018-14773

Soporte para una (legado) cabecera IIS que permite a los usuarios anulan la ruta en la URL de solicitud a través de la X-Original-URL o X-reescritura de URL encabezado de solicitud HTTP permite al usuario acceder a una URL, sino que tenga Symfony devolver una diferente que puede pasar por alto las restricciones a las cachés de nivel más alto y servidores Web.

También hay que señalar que, ya que Symfony, el framework de aplicaciones web con un conjunto de componentes PHP, está siendo utilizado por una gran cantidad de proyectos, la falla podría potencialmente poner muchas aplicaciones web en riesgo de piratería. un atacante remoto podría explotar la falla a través de una ‘X-Original-URL especialmente diseñada’ o ‘X-reescritura de URL’ valor de encabezado HTTP, que anula la ruta en la URL de solicitud y podría eludir las restricciones de acceso. Como resultado, el sistema de destino podría hacer una URL diferente.

Afortunadamente, CVE-2018 a 14773 ha sido corregido en la versión de Symfony 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14, y 4.1.3. Drupal también ha parcheado el defecto en su última versión de Drupal 8.5.6.

CVE-2018-14.773 lso encontrado en en el Marco de Zend

La misma vulnerabilidad también existe en el Zend RSS y bibliotecas Diactoros incluido en el núcleo de Drupal, investigadores prevenido. Tenga en cuenta que el núcleo de Drupal no utiliza la funcionalidad vulnerables. Sin embargo, si un sitio o módulo utiliza RSS Zend o directamente Diactoros, el administrador del sitio debe hacer referencia a la seguridad de Zend Framework consultivo.

Artículo relacionado: CVE-2018-7602 muy crítico Bug Drupal activamente explotado en el salvaje

Drupal fue criticado recientemente debido a una serie de problemas de seguridad críticos que los investigadores denominaron Drupalgeddon.

En abril, otra remota de código de errores de ejecución Drupalgeddon fue descubierto en el sistema de gestión de contenidos. Identificada como CVE-2018-7602, la vulnerabilidad muy crítico afectada Drupal versiones 7.x y 8.x. El error fue explotada de forma activa en la naturaleza.

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo