Uma nova vulnerabilidade foi descoberta, CVE-2018-14773, que afeta o Drupal, o popular sistema de gerenciamento de conteúdo de código aberto. Mais especificamente, a vulnerabilidade reside em um componente de uma biblioteca de terceiros chamada Symfony Http Foundation component. O componente faz parte do Drupal Core, com versões do Drupal 8.x afetadas antes da versão 8.5.6.
Descrição oficial da CVE-2018-14773
Suporte para um (legado) O cabeçalho IIS que permite aos usuários substituir o caminho na URL de solicitação por meio do cabeçalho de solicitação X-Original-URL ou X-Rewrite-URL HTTP permite que um usuário acesse uma URL, mas faz com que o Symfony retorne uma diferente que pode ignorar as restrições em caches de nível superior e servidores web.
Também deve-se notar que, desde Symfony, a estrutura de aplicativo da web com um conjunto de componentes PHP, está sendo usado por muitos projetos, a falha pode potencialmente colocar muitos aplicativos da web em risco de hacking. Os invasores remotos podem explorar a falha por meio de um ‘X-Original-URL especialmente criado’ ou ‘X-Rewrite-URL’ Valor do cabeçalho HTTP, que substitui o caminho no URL da solicitação e pode contornar as restrições de acesso. Como um resultado, o sistema de destino pode renderizar um URL diferente.
Felizmente, CVE-2018-14773 foi corrigido na versão Symfony 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14, e 4.1.3. O Drupal também corrigiu a falha em sua versão mais recente do Drupal 8.5.6.
CVE-2018-14773 Também encontrado no Zend Framework
A mesma vulnerabilidade também existe nas bibliotecas Zend Feed e Diactoros incluídas no núcleo do Drupal, pesquisadores avisou. Observe que o núcleo do Drupal não usa a funcionalidade vulnerável. Contudo, se um site ou módulo usa Zend Feed ou Diactoros diretamente, o administrador do site deve consultar a segurança do Zend Framework consultivo.
Drupal foi recentemente criticado devido a uma série de problemas críticos de segurança que os pesquisadores apelidaram de Drupalgeddon.
Em abril, outro bug de execução remota de código Drupalgeddon foi descoberto no sistema de gerenciamento de conteúdo. Identificado como CVE-2018-7602, a vulnerabilidade altamente crítica afetou as versões 7.xe 8.x do Drupal. O bug foi ativamente explorado na natureza.