Sintesi
Aggiornamenti di sicurezza risolvono diverse vulnerabilità, in Drupal. Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente malintenzionato l’esecuzione di codice da remoto e/o il bypass dei meccanismi di sicurezza sui sistemi target.
Rischio
Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (66,66/100)1.
Tipologia
- Arbitrary Code Execution
- Security Restrictions Bypass
Prodotti e versioni affette
Drupal core
- versioni dalla 8.8.0 alla 10.2.11
- versioni dalla 10.3.0 alla 10.3.9
- versioni dalla 11.0.0 alla 11.0.8
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza disponibile nella sezione Riferimenti.
Si evidenzia che per tutte le versioni di Drupal 8, Drupal 9 e per le versioni Drupal 10 precedenti alla 10.2 il vendor non rilascerà alcun workaround e/o patch considerata la data di fine supporto (EOL).
Riferimenti
https://www.drupal.org/sa-core-2024-003
https://www.drupal.org/sa-core-2024-004
https://www.drupal.org/sa-core-2024-005
https://www.drupal.org/sa-core-2024-007
https://www.drupal.org/sa-core-2024-008
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.