A equipa do Drupal CMS mitiga a vulnerabilidade CVE-2020-13671 que permite a execução remota de código no lado do servidor quando explorada com sucesso.

A equipa de desenvolvimento do Drupal lançou atualizações de segurança para corrigir uma vulnerabilidade de execução remota de código (RCE) causada pela falha em limpar adequadamente os nomes dos ficheiros carregados para o CMS.

A vulnerabilidade, identificada como CVE-2020-13671, foi classificada como crítica de acordo com o NIST Common Misuse Scoring System.

Em detalhe, a vulnerabilidade pode ser explorada por um criminoso da seguinte forma: carregando um ficheiro malicioso para o servidor com determinadas extensões:  phar, php, pl, py, cgi, html, htm, phtml, js e asp.

Como a plataforma não sanitiza adequadamente os parametros do file name carregado para o servidor, esses ficheiros podem ser carregados remotamente levando a uma condição de RCE.

“Drupal core does not properly sanitize certain filenames on uploaded files, which can lead to files being interpreted as the incorrect extension and served as the wrong MIME type or executed as PHP for certain hosting configurations.” reads the security advisory published by Drupal.

 

A equipa de desenvolvimento corrigiu a falha no Drupal 7, 8 e 9 com o lançamento das versões 7.74, 8.8.11, 8.9.9 e 9.0.8.

 

Medidas de mitigação

A equipa de desenvolvimento recomenda que os utilizadores verifiquem os seus servidores e realizem um procura por ficheiros que incluam mais de uma extensão, como filename.php.txt ou filename.html.gif. Caso um ficheiro possua mais que uma extensão, então provavelmente o seu CMS já havia sido comprometido através desta vulnerabilidade.

Se possível, atualizar as versões do CMS como sugerido pela Drupal.