Ir para conteúdo

Alerta de Vulnerabilidades - Drupal

TIPO
Vulnerabilidades
SISTEMAS AFETADOS
Plataformas Drupal
ECOSSISTEMA
Drupal, Outro
Descrição

A plataforma Drupal lançou uma atualização de segurança para corrigir uma vulnerabilidade associada à falta de sanitização no carregamento (upload) de ficheiros.


Impacto

Quando explorada com sucesso, esta vulnerabilidade pode permitir ao atacante efetuar o upload de ficheiros (com dupla extensão) que posteriormente podem ser executados, permitindo ao atacante assumir o controlo do website.



Resolução

Atualizar para as seguintes versões:
- Versão Drupal 9.0, atualizar para versão Drupal 9.0.8
- Versão Drupal 8.9, atualizar para versão Drupal 8.9.9
- Versão Drupal 8.8, atualizar para versão Drupal 8.8.11
- Versão Drupal 7, atualizar para versão Drupal 7.74

As versões Drupal anteriores a 8.8.8, são consideras em fim de vida e como tal não vão receber esta atualização.

Sugerímos também que seja efetuada uma auditoria aos ficheiros que foram carregados de forma a ser verificado se podem existir ficheiros/extensões maliciosas.
Pode ser consultada uma lista de extensões[1] susceptíveis de serem utilizadas nesta vulnerabilidade.



Referências

[1] https://www.drupal.org/sa-core-2020-012
[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13671

 

Última atualização em 13-12-2020