Vulnerabilidade de execução remota de código é corrigida no Drupal

As atualizações lançadas na quarta-feira para o sistema de gerenciamento de conteúdo (CMS) Drupal corrigem uma vulnerabilidade de execução remota de código relacionada à falha em limpar adequadamente os nomes dos arquivos carregados.

A vulnerabilidade, rastreada como CVE-2020-13671, foi classificada como crítica, mas vale a pena mencionar que o Drupal usa o NIST Common Misuse Scoring System, que atribui às vulnerabilidades uma pontuação que varia entre 0 e 25, sendo “crítico” apenas o segundo classificação mais alta, depois de “altamente crítica”.

Um invasor que pode carregar arquivos em um servidor pode usar certos tipos de extensões para contornar as restrições e obter a execução de código malicioso.

“O núcleo do Drupal não limpa adequadamente certos nomes de arquivo em arquivos carregados, o que pode fazer com que os arquivos sejam interpretados como a extensão incorreta e servidos como o tipo MIME errado ou executados como PHP para certas configurações de hospedagem”, explicou o Drupal em um comunicado .

O problema foi relatado aos desenvolvedores do Drupal por várias pessoas e foi corrigido no Drupal 7, 8 e 9 com o lançamento das versões 7.74, 8.8.11, 8.9.9 e 9.0.8.

O Drupal também aconselhou os usuários a verificar seus servidores em busca de arquivos com extensões potencialmente maliciosas, como filename.php.txt ou filename.html.gif. Os usuários devem estar atentos a arquivos que tenham extensões como phar, php, pl, py, cgi, html, htm, phtml, js e asp.

Esta é a quinta rodada de atualizações de segurança lançadas este ano pelos desenvolvedores do Drupal. Em março, eles atualizaram o CKEditor para corrigir vulnerabilidades de XSS, em maio abordaram falhas de redirecionamento aberto e XSS, em junho eles consertaram a execução de código e vários outros tipos de problemas e, em setembro , corrigiram vulnerabilidades de divulgação de informações e XSS.

Fonte: https://www.securityweek.com/remote-code-execution-vulnerability-patched-drupal