Alerta de vulnerabilidade para o CMS Drupal

Drupal.

17/03/2017 13:52

Recentes vulnerabilidades encontradas no CMS Drupal podem permitir execução arbitrária de código e possibilidade de burlar controles de acesso. Até o momento da liberação desta publicação, não foram identificados códigos de exploração para as vulnerabilidades identificadas.

Resumo

Validação incorreta de controle de acesso via editor de textos (CVE-2017-6377). Ao adicionar um arquivo via editor de texto (como o CKEditor), este não realiza a correta verificação dos arquivos anexados, o que pode permitir um atacante burlar o controle de acesso do ambiente.
Inexistência de controles CSRF em alguns diretórios administrativos (CVE-2017-6379). A falta de proteção contra ataques CSRF (Cross-Site Request Forgery) em alguns diretórios administrativos do Drupal pode permitir que um usuário malicioso execute comandos não autorizados através de um usuário autenticado, explorando a relação de confiança existente no ambiente. Caso o atacante tenha conhecimento dos IDs de blocos de um determinado site, estes podem ser desativados, por exemplo.
Execução remota de código (CVE-2017-6381). A biblioteca Composer, incluída dentre as dependências de desenvolvimento da versão 8 do Drupal, é vulnerável à execução remota de código.

A Versão 8.2.6 e todas as versões anteriores subsequentes foram estão expostas a estas vulnerabilidades.

CORREÇÕES DISPONÍVEIS

Atualizar a versão do CMS Drupal para a versão mais recente disponibilizada pelos desenvolvedores (8.2.7 no momento da publicação) ou a versão mais recente recomendada de acordo com o sistema operacional em uso.

*Alerta repassado pela Cais/RNP.

Assuntos

Mais Notícias

Mais artigos

Inovação automotiva

Controle seu ford pelo smartwatch Android com o app FordPass

A Ford agora oferece controle de funções do seu veículo diretamente no smartwatch Android com o app FordPass, permitindo mais conveniência para os motoristas.

Acesso fácil

Schlage lidera suporte ao Google Wallet no Wear OS

A Schlage é a primeira empresa a oferecer suporte para desbloqueio de portas no Wear OS por meio do Google Wallet, permitindo que usuários usem seus smartwatches para acesso prático e seguro.

Tecnologia industrial

Nokia 360 Camera: câmera 5G 8K 360° para uso industrial

Nokia revela sua nova câmera 5G 8K 360°, projetada para uso industrial, oferecendo vídeo ao vivo, segurança cibernética e alta resistência.

samsung-confirma-que-trara-seu-concorrente-dolby-atmos-ainda-em-2024

Produtos JBL

Samsung agora comercializa produtos de áudio JBL diretamente em sua loja online

A Samsung passou a vender diretamente em sua loja online dispositivos de áudio JBL, incluindo fones e alto-falantes Bluetooth, sem redirecionamento para o site da marca.

SUV elétrico

Xiaomi revela nome do próximo modelo de SUV elétrico YU7, com lançamento previsto para 2025

O novo SUV elétrico YU7 da Xiaomi foi confirmado com lançamento previsto para meados de 2025. O modelo terá duas opções de motorização e design robusto.

Bateria maior

OnePlus Watch 3 terá bateria maior e corpo mais fino

O OnePlus Watch 3 chegará com uma bateria de 648 mAh, oferecendo mais autonomia e um design mais fino. Descubra as novidades desse modelo que promete melhorar a experiência com Wear OS.