Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Kodearen urruneko exekuzioaren erako ahultasuna Drupal-en core-an

Argitalpen data: 2019/02/21

Garrantzia: Handia

Kaltetutako baliabideak:

  • Drupal 7.x-en kasuan, komunitateak garatutako moduluak
  • Drupal 8.x

Azalpena:

Drupalen segurtasun ekipoak larritasun kritikoko ahultasun bat aurkitu du core-an. Hori baliatuz urruneko erasotzaile batek Drupalen oinarritutako webgune bat arriskuan jar lezake.

Konponbidea:

Drupalek aholkatzen du norberak duen bertsioaren araberako eguneraketa egitea.

8.5.x baino lehenagoko Drupal 8ren bertsioak end-of-life dira eta ez dute izango segurtasun estaldurarik.

Xehetasuna:

  • Ahultasun honen eraginez eremu mota batzuek ez dituzte ondo baliozkotzen inprimaki ez diren iturrietako datuak, eta horren ondorioz PHP kodea arbitrarioki exekuta daiteke batzuetan. Ahultasun horretarako CVE-2019-6340 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, Edukien kudeatzailea, Ahultasuna