A equipa de desenvolvimento do Drupal lançou atualizações de segurança para corrigir uma vulnerabilidade de execução remota de código (RCE) causada pela falha em limpar adequadamente os nomes dos ficheiros carregados para o CMS.
A vulnerabilidade, identificada como CVE-2020-13671, foi classificada como crítica de acordo com o NIST Common Misuse Scoring System.
Em detalhe, a vulnerabilidade pode ser explorada por um criminoso da seguinte forma: carregando um ficheiro malicioso para o servidor com determinadas extensões: phar, php, pl, py, cgi, html, htm, phtml, js e asp.
Como a plataforma não sanitiza adequadamente os parametros do file name carregado para o servidor, esses ficheiros podem ser carregados remotamente levando a uma condição de RCE.
“Drupal core does not properly sanitize certain filenames on uploaded files, which can lead to files being interpreted as the incorrect extension and served as the wrong MIME type or executed as PHP for certain hosting configurations.” reads the security advisory published by Drupal.
A equipa de desenvolvimento corrigiu a falha no Drupal 7, 8 e 9 com o lançamento das versões 7.74, 8.8.11, 8.9.9 e 9.0.8.
Medidas de mitigação
A equipa de desenvolvimento recomenda que os utilizadores verifiquem os seus servidores e realizem um procura por ficheiros que incluam mais de uma extensão, como filename.php.txt ou filename.html.gif. Caso um ficheiro possua mais que uma extensão, então provavelmente o seu CMS já havia sido comprometido através desta vulnerabilidade.
Se possível, atualizar as versões do CMS como sugerido pela Drupal.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.