Accueil > Nouvelles Cyber > CVE-2019-6340: Une nouvelle Flaw très critique dans Drupal
CYBER NOUVELLES

CVE-2019-6340: Une nouvelle Flaw très critique dans Drupal

Une nouvelle vulnérabilité très critique, identifié comme CVE-2019-6340, vient d'être découverte dans Drupal, et, heureusement, il est déjà fixé dans la dernière version du système de gestion de contenu.

Si vous utilisez Drupal 7, aucune mise à jour de base est requis, mais vous devrez peut-être mettre à jour les modules ont contribué si vous utilisez un module concerné. Nous sommes incapables de fournir la liste de ces modules à ce moment, Drupal a déclaré dans l'avis de sécurité.




CVE-2019-6340 Reprise technique

CVE-2019-6340 est un défaut d'exécution de code à distance dans Drupal Core qui pourrait conduire à du code PHP arbitraire exécution dans des cas particuliers. Pas assez de détails techniques sont disponibles sur la vulnérabilité. Ce qui est connu est que la faille est déclenchée parce que certains types de champs ne désinfectent pas correctement les données provenant de sources non-forme. Le bogue affecte Drupal 7 et Drupal 8, l'équipe a déclaré.

Un site Web basé sur Drupal est seulement exploitable dans le cas où les services Web RESTful (du repos) le module est activé permet à des demandes de patch ou POST. Le défaut est également déclenché lorsqu'un autre module de service Web est activé.

Comment CVE-2019-6340 atténué?

Pour atténuer la vulnérabilité, les utilisateurs concernés peuvent désactiver tous les services Web modules, ou configurer leur serveur Web(s) de ne pas autoriser les requêtes PUT / PATCH / POST aux ressources de services Web. Gardez à l'esprit que les ressources de services Web peuvent être disponibles sur plusieurs chemins d'accès en fonction de la configuration du serveur correspondant(s).

pour Drupal 7, les ressources sont par exemple généralement disponibles via des chemins (URL propres) et par l'intermédiaire d'arguments de la “q” argument de la requête. pour Drupal 8, les chemins peuvent encore fonctionner préfixés avec index.php /, le dit consultatif.

en relation: [wplinkpreview url =”https://sensorstechforum.com/cve-2018-7600-drupal-bug-used-new-attack/”]CVE-2018-7600 Drupal Bug utilisé en Nouvelle-attaque

Un autre bug d'exécution de code à distance dans Drupal, appelé Drupalgeddon2, a été exploitée en Octobre l'année dernière. Un collectif criminel inconnu profitait d'un vieux bug de sécurité suivi dans l'avis CVE-2018-7600 qui a déjà été patché dans 2017. Cette tentative d'intrusion a été appelé l'attaque Drupalgeddon2 et selon les recherches disponibles, il a permis des pirates d'exploiter les sites vulnérables et prendre le contrôle total, y compris l'accès aux données privées.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politique de confidentialité.
Je suis d'accord