Alerta de vulnerabilidade para o CMS Drupal

Want create site? Find Free WordPress Themes and plugins.
Recentes vulnerabilidades encontradas no CMS Drupal podem permitir execução arbitrária de código e possibilidade de burlar controles de acesso. Até o momento da liberação desta publicação, não foram identificados códigos de exploração para as vulnerabilidades identificadas.

Resumo

  • Validação incorreta de controle de acesso via editor de textos (CVE-2017-6377

Ao adicionar um arquivo via editor de texto (como o CKEditor), este não realiza a correta verificação dos arquivos anexados, o que pode permitir um atacante burlar o controle de acesso do ambiente.

  • Inexistência de controles CSRF em alguns diretórios administrativos (CVE-2017-6379)
A falta de proteção contra ataques CSRF (Cross-Site Request Forgery) em alguns diretórios administrativos do Drupal pode permitir que um usuário malicioso execute comandos não autorizados através de um usuário autenticado, explorando a relação de confiança existente no ambiente. Caso o atacante tenha conhecimento dos IDs de blocos de um determinado site, estes podem ser desativados, por exemplo.
  • Execução remota de código (CVE-2017-6381)
A biblioteca Composer, incluída dentre as dependências de desenvolvimento da versão 8 do Drupal, é vulnerável à execução remota de código.

VERSÕES AFETADAS

Versão 8.2.6 e todas as versões anteriores subsequentes.

CORREÇÕES DISPONÍVEIS

Atualizar a versão do CMS Drupal para a versão mais recente disponibilizada pelos desenvolvedores (8.2.7 no momento da publicação) ou a versão mais recente recomendada de acordo com o sistema operacional em uso.
*Alerta repassado pela Cais/RNP
Did you find apk for android? You can find new Free Android Games and apps.

Comentários