Uma vulnerabilidade no componente Symfony HttpFoundation identificado como CVE-2018-14773 pode ser explorada por cyber actores de forma a terem total acesso aos websites infetados.

Os developers do Drupal abordaram a vulnerabilidade e lançaram prontamente uma nova versão do CMS, a versão 8.5.6.

“The Drupal project uses the Symfony library. The Symfony library has released a security update that impacts Drupal. Refer to the Symfony security advisory for the issue. The same vulnerability also exists in the Zend Feed and Diactoros libraries included in Drupal core; however, Drupal core does not use the vulnerable functionality.” reads the advisory published by Drupal.

“If your site or module uses Zend Feed or Diactoros directly, read the Zend Framework security advisory and update or patch as needed.”

 

O componente Symfony HttpFoundation é uma biblioteca de terceiros usada no core do Drupal.  A falha afeta as versões do Drupal 8.x antes da 8.5.6.

drupal

 

O symfony é uma framework web que é usada em muitos projetos. Isto pode significar que a vulnerabilidade CVE-2018-14773 pode afetar potencialmente um grande número de aplicações neste momento.

“Support for a (legacy) IIS header that lets users override the path in the request URL via the X-Original-URL or X-Rewrite-URL HTTP request header allows a user to access one URL but have Symfony return a different one which can bypass restrictions on higher level caches and web servers.” reads the security advisory published by Symfony.

“The fix drops support for these two obsolete IIS headers: X-Original-URL and X_REWRITE_URL.” reads the security advisory published Symfony.

 

Um ataque remoto pode acionar a falha usando o valor do cabeçalho HTTP “X-Original-URL” ou “X-Rewrite-URL” especialmente criado para esse efeito.

De acordo com o alerta de segurança publicado pelo Symfony, as versões 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14 e 4.1.3 estão vulneráveis à falha.