Casa > Ciber Noticias > CVE-2019-6340: Una nueva Un error muy crítico en Drupal
CYBER NOTICIAS

CVE-2019-6340: Una nueva Un error muy crítico en Drupal

Una nueva vulnerabilidad muy crítico, identificado como CVE-2019-6340, se acaba de descubrir en Drupal, y por suerte ya está solucionado en la última versión del sistema de gestión de contenidos.

Si está ejecutando Drupal 7, no se requiere una actualización del núcleo, pero es posible que tenga que actualizar módulos de terceros si está utilizando un módulo afectado. No somos capaces de proporcionar la lista de los módulos en este momento, Drupal dijo en el aviso de seguridad.




Reanudar Técnica CVE-2019-6340

CVE-2019-6340 es un defecto de ejecución remota de código en el núcleo de Drupal que podría provocar la ejecución de código PHP arbitrario en casos específicos. No hay suficientes detalles técnicos están disponibles sobre la vulnerabilidad. Lo que se sabe es que la falla se activa debido a que algunos tipos de campo no limpiar adecuadamente los datos procedentes de fuentes no forman. El error afecta a Drupal 7 y Drupal 8, el equipo dijo.

Un sitio web basado en Drupal sólo es explotable en caso de que los Servicios Web REST (descanso) módulo está habilitada permitiendo que solicita una ruta o POST. El fallo también se activa cuando otro módulo de servicio web está habilitada.

¿Cómo se puede mitigar CVE-2019-6340?

Para mitigar la vulnerabilidad, usuarios afectados pueden desactivar todos los módulos de servicios web, o configurar su servidor web(s) para no permitir peticiones PUT / PATCH / POST a los recursos de servicios web. Tenga en cuenta que los recursos de servicios web pueden estar disponibles en varias rutas dependiendo de la configuración del servidor correspondiente(s).

para Drupal 7, los recursos son, por ejemplo, suelen estar disponibles a través de caminos (URLs limpias) y a través de argumentos a la “q” argumento de consulta. para Drupal 8, caminos todavía pueden funcionar cuando el prefijo index.php /, el asesor dijo.

Relacionado: [wplinkpreview url =”https://sensorstechforum.com/cve-2018-7600-drupal-bug-used-new-attack/”]CVE-2018-7600 Bug Drupal utiliza en Nuevo ataque

Otra ejecución de error de código remoto en Drupal, llamada Drupalgeddon2, fue explotada en octubre del año pasado. Un colectivo desconocido penal estaba tomando ventaja de un viejo error de seguridad en el seguimiento de asesoramiento CVE-2018-7600 que fue parcheado previamente en 2017. Este intento de intrusión se llama el ataque Drupalgeddon2 y de acuerdo con las investigaciones disponibles, que permitía a los hackers para explotar sitios vulnerables y tomar el control total, incluyendo el acceso a los datos privados.

Milena Dimitrova

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...