0
NopSec
Drupal ha rilasciato un aggiornamento di sicurezza che risolve una serie di critiche difetti nella gestione del sito web della piattaforma core engine.
Giovedì, Drupal, un open-source del sistema di gestione dei contenuti (CMS), utilizzato da migliaia di gestire il back-end dei loro siti web, ha rilasciato l’ultima versione del proprio software, Drupal 8.3.7, per combattere una serie di vulnerabilità che potrebbe lasciare gli utenti esposti agli attacchi.
Secondo Drupal avviso di sicurezza, sono state scoperte diverse vulnerabilità della piattaforma CMS, alcune delle quali sono considerate fondamentali.
Il più grave falla di sicurezza, CVE-2017-6925, è un accesso di bypass bug in Drupal 8 Core engine entità del sistema di accesso senza Universal Unique Identifier (UUID) che potrebbe consentire agli aggressori di gamma liberamente nel sistema. Drupal dice che la vulnerabilità di essere sfruttati, gli aggressori sono in grado di visualizzare, creare, aggiornare o eliminare le entità.
Un altro grave problema, CVE-2017-6923, è un altro accesso di vulnerabilità bypass. Il problema si verifica quando si crea una vista in Drupal, è possibile, in alternativa, utilizzare Ajax per aggiornare la visualizzazione dei dati tramite i parametri di filtro.
Tuttavia, la vista del sottosistema di telefonia mobile non limitare l’accesso all’Ajax endpoint solo viste configurato per l’utilizzo di Ajax.
Questa settimana, la piattaforma di CMS provider anche rilasciato un separato avviso di sicurezza per Drupal versione 7.
Secondo la comunicazione, le versioni 7.x – 3.17 sono anche vulnerabili alla stessa Ajax problema, ma non CVE è ancora stato rilasciato. Gli utenti di questa build è stato, inoltre, chiesto di applicare l’aggiornamento per la protezione per il punto di vista del modulo.
Il finale di bug ora inserite nel nuovo Drupal versione è CVE-2017-6924, ancora una volta, un accesso vulnerabilità di bypass. Questo bug può essere sfruttato tramite l’API REST per consentire agli utenti senza il corretto livello di autorizzazione a postare commenti che vengono approvati automaticamente.
Tuttavia, questo riguarda solo Drupal costruisce con la RESTful Web Services (rest) modulo abilitato, e in cui un utente malintenzionato può accedere a un account utente sul sito con le autorizzazioni per pubblicare commenti, o dove gli utenti anonimi sono permesso di postare commenti.
Drupal versione 8 prima di Drupal 8.3.7 sono vulnerabili a questi problemi.
Non ci sono nuove funzionalità dell’ultima versione di Drupal, ma i webmaster sono invitati ad aggiornare i loro pacchetti esistenti per approfittare dell’ultima tornata di aggiornamenti per la sicurezza.
Vedi anche: Drupal patch 10 falle di sicurezza, i problemi critici
Nel mese di luglio, Drupal ha chiesto agli utenti di patch esecuzione remota di codice difetto che ha permesso agli aggressori di assumere completamente la pagina web appositamente predisposto, richieste di esecuzione di codice arbitrario, e, potenzialmente, di dirottare i server.
0