A equipa de desenvolvimento do CMS Drupal, versão 7 e 8, corrigiu vulnerabilidades que permitiam a execução remota de código (RCE).
A equipa de desenvolvimento do CMS Drupal corrigiu várias vulnerabilidades nas versões 7 e 8, incluindo algumas falhas que podem ser exploradas para execução remota de código (RCE).
A equipa do Drupal corrigiu uma vulnerabilidade crítica que reside no módulo Contextual Links, que não valida corretamente os links contextuais solicitados. A falha pode ser explorada por um invasor com uma conta com a permissão “access contextual links” para a execução remota de código.
“The Contextual Links module doesn’t sufficiently validate the requested contextual links.” reads the security advisory.
“This vulnerability is mitigated by the fact that an attacker must have a role with the permission “access contextual links”.”
Outra vulnerabilidade crítica de injeção também foi abordada. Ela reside na função DefaultMailSystem::mail(). A causa raiz do bug é a falta de sanitização de algmas variáveis de argumentos shell enviados via e-mail.
“When sending email some variables were not being sanitized for shell arguments, which could lead to remote code execution.” continues the advisory.
As restantes vulnerabilidades endereçadas foram classificadas como “Moderately critical”, e agregam “open redirect bugs” e “access bypass” a conteúdo supostamente moderado e protegido com autenticação.
As vulnerabilidades foram corrigidas com o lançamento do Drupal 7.60, 8.6.2 e 8.5.8.
A equipa do Drupal encoraja os utilizadores a instalar as atualizações de segurança o mais rápido possível, pois existe o risco das vulnerabilidades serem exploradas “in-the-wild” pelos hackers nas suas campanhas maliciosas.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.