Casa > cibernético Notícias > CVE-2019-6340: Uma nova falha altamente crítica em Drupal
CYBER NEWS

CVE-2019-6340: Uma nova falha altamente crítica em Drupal

por   |  Última atualização:  |  0 Comentários  

Uma nova vulnerabilidade altamente crítica, identificado como CVE-2019-6340, foi apenas descoberto em Drupal, e, felizmente, ele já está corrigido na versão mais recente do sistema de gerenciamento de conteúdo.

Se você estiver executando o Drupal 7, Não é necessária atualização do núcleo, mas você pode precisar atualizar os módulos contribuídos se estiver usando um módulo afetado. Não podemos fornecer a lista desses módulos no momento, Drupal disse no comunicado de segurança.




Currículo Técnico CVE-2019-6340

CVE-2019-6340 é uma falha de execução remota de código no Drupal Core que pode levar à execução arbitrária de código PHP em casos específicos. Não há detalhes técnicos suficientes disponíveis sobre a vulnerabilidade. O que se sabe é que a falha é acionada porque alguns tipos de campo não higienizam adequadamente os dados de fontes não-forma. O bug afeta o Drupal 7 e Drupal 8, a equipe disse.

Um site baseado em Drupal só pode ser explorado no caso de RESTful Web Services (descansar) módulo está habilitado permitindo solicitações PATCH ou POST. A falha também é acionada quando outro módulo de serviço da web é habilitado.

Como o CVE-2019-6340 pode ser atenuado?

Para mitigar a vulnerabilidade, os usuários afetados podem desativar todos os módulos de serviços da web, ou configurar seu servidor web(s) para não permitir solicitações PUT / PATCH / POST para recursos de serviços da web. Lembre-se de que os recursos de serviços da web podem estar disponíveis em vários caminhos, dependendo da configuração do servidor correspondente(s).

Para Drupal 7, os recursos estão, por exemplo, normalmente disponíveis por meio de caminhos (URLs limpos) e via argumentos para o “q” argumento de consulta. Para Drupal 8, caminhos ainda podem funcionar quando prefixados com index.php /, o consultor disse.

relacionado: [wplinkpreview url =”https://sensorstechforum.com/cve-2018-7600-drupal-bug-used-new-attack/”]CVE-2018-7600 Bug Drupal Usado em novo ataque

Outro bug de execução remota de código no Drupal, chamado Drupalgeddon2, foi explorado em outubro do ano passado. Um grupo criminoso desconhecido estava se aproveitando de um bug de segurança antigo rastreado no comunicado CVE-2018-7600 que foi corrigido anteriormente em 2017. Esta tentativa de intrusão foi chamada de ataque Drupalgeddon2 e de acordo com as pesquisas disponíveis, permitiu que hackers explorassem sites vulneráveis ​​e assumissem o controle total, incluindo acesso a dados privados.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Postagens relacionadas:
  1. CVE-2018-7602 Bug Drupal altamente crítico ativamente exploradas no selvagem Drupalgeddon continua com mais um bug de execução remota de código...
  2. Adobe Patches 112 Vulnerabilidades no Últimas Patch Package (CVE-2018-5007) A Adobe lançou o pacote de patch mais recente que aborda um...
  3. CVE-2018-14773 A falha do Symfony afeta as versões do Drupal 8.x-8.5.6 Uma nova vulnerabilidade foi descoberta, CVE-2018-14773, que afeta o Drupal,...
  4. CVE-2018-7600 Critical Drupal coloca Bug milhões de sites em Risco The popular CMS system Drupal has been found to contain...
  5. CVE-2018-7600 Bug Drupal Usado em novo ataque Computer hackers are abusing the CVE-2018-7600 Drupal vulnerability using a...
  6. Quem dirige desatualizados versões do WordPress e Drupal? corporações! Se você estiver executando um WordPress desatualizado, Drupal or some other...
  7. “Drupal” ransomware Usa SQL Injection para sites Bloqueio Drupal “Website é bloqueado. transferência por favor 1.4 BitCoin to address 3M6SQh8Q6d2j1B4JRCe2ESRLHT4vTDbSM9...
  8. CVE-2019-1867: Bug altamente crítico no Cisco Elastic Services Controller Cisco has patched yet another critical vulnerability outlined as CVE-2019-1867....

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo