Uma nova vulnerabilidade altamente crítica, identificado como CVE-2019-6340, foi apenas descoberto em Drupal, e, felizmente, ele já está corrigido na versão mais recente do sistema de gerenciamento de conteúdo.
Se você estiver executando o Drupal 7, Não é necessária atualização do núcleo, mas você pode precisar atualizar os módulos contribuídos se estiver usando um módulo afetado. Não podemos fornecer a lista desses módulos no momento, Drupal disse no comunicado de segurança.
Currículo Técnico CVE-2019-6340
CVE-2019-6340 é uma falha de execução remota de código no Drupal Core que pode levar à execução arbitrária de código PHP em casos específicos. Não há detalhes técnicos suficientes disponíveis sobre a vulnerabilidade. O que se sabe é que a falha é acionada porque alguns tipos de campo não higienizam adequadamente os dados de fontes não-forma. O bug afeta o Drupal 7 e Drupal 8, a equipe disse.
Um site baseado em Drupal só pode ser explorado no caso de RESTful Web Services (descansar) módulo está habilitado permitindo solicitações PATCH ou POST. A falha também é acionada quando outro módulo de serviço da web é habilitado.
Como o CVE-2019-6340 pode ser atenuado?
Para mitigar a vulnerabilidade, os usuários afetados podem desativar todos os módulos de serviços da web, ou configurar seu servidor web(s) para não permitir solicitações PUT / PATCH / POST para recursos de serviços da web. Lembre-se de que os recursos de serviços da web podem estar disponíveis em vários caminhos, dependendo da configuração do servidor correspondente(s).
Para Drupal 7, os recursos estão, por exemplo, normalmente disponíveis por meio de caminhos (URLs limpos) e via argumentos para o “q” argumento de consulta. Para Drupal 8, caminhos ainda podem funcionar quando prefixados com index.php /, o consultor disse.
Outro bug de execução remota de código no Drupal, chamado Drupalgeddon2, foi explorado em outubro do ano passado. Um grupo criminoso desconhecido estava se aproveitando de um bug de segurança antigo rastreado no comunicado CVE-2018-7600 que foi corrigido anteriormente em 2017. Esta tentativa de intrusão foi chamada de ataque Drupalgeddon2 e de acordo com as pesquisas disponíveis, permitiu que hackers explorassem sites vulneráveis e assumissem o controle total, incluindo acesso a dados privados.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: