Alerta de vulnerabilidade para o CMS Drupal

Drupal.

Drupal
Recentes vulnerabilidades encontradas no CMS Drupal podem permitir execução arbitrária de código e possibilidade de burlar controles de acesso. Até o momento da liberação desta publicação, não foram identificados códigos de exploração para as vulnerabilidades identificadas.

Resumo

  1. Validação incorreta de controle de acesso via editor de textos (CVE-2017-6377). Ao adicionar um arquivo via editor de texto (como o CKEditor), este não realiza a correta verificação dos arquivos anexados, o que pode permitir um atacante burlar o controle de acesso do ambiente.
  2. Inexistência de controles CSRF em alguns diretórios administrativos (CVE-2017-6379). A falta de proteção contra ataques CSRF (Cross-Site Request Forgery) em alguns diretórios administrativos do Drupal pode permitir que um usuário malicioso execute comandos não autorizados através de um usuário autenticado, explorando a relação de confiança existente no ambiente. Caso o atacante tenha conhecimento dos IDs de blocos de um determinado site, estes podem ser desativados, por exemplo.
  3. Execução remota de código (CVE-2017-6381). A biblioteca Composer, incluída dentre as dependências de desenvolvimento da versão 8 do Drupal, é vulnerável à execução remota de código.

A Versão 8.2.6 e todas as versões anteriores subsequentes foram estão expostas a estas vulnerabilidades.

CORREÇÕES DISPONÍVEIS

Atualizar a versão do CMS Drupal para a versão mais recente disponibilizada pelos desenvolvedores (8.2.7 no momento da publicação) ou a versão mais recente recomendada de acordo com o sistema operacional em uso.

CVE 2017-6379

 

 CVE 2017-6381

*Alerta repassado pela Cais/RNP.