Falha crítica no Drupal permite que hackers ataquem seu site remotamente

Os desenvolvedores do Drupal – um popular software de sistema de gerenciamento de conteúdo de código aberto que alimenta milhões de sites – lançaram a versão mais recente de seu software para corrigir uma vulnerabilidade crítica que pode permitir que atacantes remotos hackem seu site.

A atualização ocorreu dois dias depois que a equipe de segurança do Drupal divulgou uma notificaçãode segurança antecipada sobre os próximos patches, dando aos administradores de websites informações antecipadas para corrigir seus sites antes que os hackers abusassem da brecha.

A vulnerabilidade em questão é uma falha crítica de execução remota de código (RCE) no Drupal Core que poderia “levar à execução de código PHP arbitrário em alguns casos”, disse a equipe de segurança do Drupal.

Embora a equipe do Drupal não tenha divulgado nenhum detalhe técnico sobre a vulnerabilidade (CVE-2019-6340), mencionou que a falha reside no fato de que alguns tipos de campo não limpam adequadamente os dados de fontes não-formadas e afetam o Drupal 7 e 8 núcleos.

Também deve ser observado que o site baseado no Drupal só é afetado se o módulo RESTful Web Services (restante) estiver habilitado e permitir solicitações PATCH ou POST, ou se tiver outro módulo de serviços da Web ativado.

Se você não puder instalar imediatamente a atualização mais recente, poderá mitigar a vulnerabilidade simplesmente desativando todos os módulos de serviços da Web ou configurando seu (s) servidor (es) da Web para não permitir solicitações PUT / PATCH / POST para recursos de serviços da web.

“Observe que os recursos de serviços da Web podem estar disponíveis em vários caminhos, dependendo da configuração de seu (s) servidor (es)”, alerta o Drupal em seu comunicado desegurança publicado na quarta-feira.

“Para o Drupal 7, os recursos são, por exemplo, normalmente disponíveis através de caminhos (URLs limpas) e via argumentos para o argumento de consulta ” q “. Para o Drupal 8, os caminhos ainda podem funcionar quando prefixados com index.php /.”

No entanto, considerando a popularidade das explorações do Drupal entre hackers, é altamente recomendado que você instale a atualização mais recente:

  • Se você estiver usando o Drupal 8.6.x, atualize seu site para o Drupal 8.6.10.
  • Se você estiver usando o Drupal 8.5.x ou anterior, atualize seu site para o Drupal 8.5.11

O Drupal também disse que o módulo de Serviços do Drupal 7 em si não requer uma atualização neste momento, mas os usuários devem considerar a possibilidade de aplicar outras atualizações contribuídas associadas ao último aviso se “Serviços” estiver em uso.

Drupal creditou Samuel Mortenson de sua equipe de segurança por descobrir e relatar a vulnerabilidade.

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.