Ir para conteúdo

Alerta de Vulnerabilidades - Drupal

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
Drupal anteriores a 9.3.19 e 9.4.3.
ECOSSISTEMA
Apache, Drupal
Descrição

Na sequência da correção de duas vulnerabilidades, foi identificada uma vulnerabilidade de Execução de Código Remoto (CVE-2022-25277) nas versões Drupal anteriores a 9.3.19 e 9.4.3.
Se o sistema estiver configurado para permitir carregar de ficheiros com a extensão .htaccess, estes ficheiros não seriam sanitizados adequadamente. Isto permite não só contornar as proteções fornecidas pelos ficheiros .htaccess, bem como execução de código remoto nos servidores web Apache.
Recomenda-se consultar [1] para mais detalhes técnicos.

 

Impacto

Caso esta vulnerabilidade seja explorada com sucesso, permite a um atacante a execução de código arbitrário.

 

Resolução

Recomenda-se a atualização para a versão mais recente:

  • Drupal 9.3.19;
  • Drupal 9.4.3.

As versões Drupal 7 core não são afetadas por esta vulnerabilidade.

Referências
Última atualização em 13-12-2020