Alerta de Vulnerabilidades - Drupal
Na sequência da correção de duas vulnerabilidades, foi identificada uma vulnerabilidade de Execução de Código Remoto (CVE-2022-25277) nas versões Drupal anteriores a 9.3.19 e 9.4.3.
Se o sistema estiver configurado para permitir carregar de ficheiros com a extensão .htaccess, estes ficheiros não seriam sanitizados adequadamente. Isto permite não só contornar as proteções fornecidas pelos ficheiros .htaccess, bem como execução de código remoto nos servidores web Apache.
Recomenda-se consultar [1] para mais detalhes técnicos.
Caso esta vulnerabilidade seja explorada com sucesso, permite a um atacante a execução de código arbitrário.
Recomenda-se a atualização para a versão mais recente:
- Drupal 9.3.19;
- Drupal 9.4.3.
As versões Drupal 7 core não são afetadas por esta vulnerabilidade.