Albisteak

Drupal Core-ko kalteberatasun kritikoak eta larriak

Argitalpen-data: 

Drupal-en segurtasun taldeak hiru segurtasun-ohar argitaratu ditu Drupal-en muinean dauden kalteberatasun kritiko eta moderatu kritikoei buruz, Drupal 10.3.13, 10.4.3, 11.0.12 eta 11.1.3 bertsioak baino lehenagoko bertsioei eraginez. Kalteberatasun hauek Cross Site Scripting (XSS), sarbide-kontrolen ezabatzea eta PHP Gadget Chain barne hartzen dituzte, eta horrek kodea urrunetik exekutatzea ahalbidetu lezake zenbait egoeratan. Arrisku hauek arintzeko, Drupal-en azken bertsioetara berehala eguneratzea gomendatzen da.

Eragindako baliabideak:

  • Drupal 10.3.x bertsiorako: eguneratu Drupal 10.3.13-ra
  • Drupal 10.4.x bertsiorako: eguneratu Drupal 10.4.3-ra
  • Drupal 11.0.x bertsiorako: eguneratu Drupal 11.0.12-ra
  • Drupal 11.1.x bertsiorako: eguneratu Drupal 11.1.3-ra

Gainera, gogorarazten da Drupal 10.3 baino lehenagoko Drupal 10 bertsio guztiak bizitza-zikloaren amaierara iritsi direla eta ez dutela segurtasun-eguneraketarik jasoko. Gauza bera gertatzen da Drupal 8 eta Drupal 9-rekin.

Analisi teknikoa:

Cross Site Scripting (XSS) - SA-CORE-2025-001

Drupal core-k ez ditu errore-mezuak behar bezala iragazten zenbait egoeratan, eta horrek XSS (Cross Site Scripting) erasoak ahalbidetzen ditu. Publikoki dokumentatutako exploitik ez dagoen arren, kalteberatasunaren izaera dela eta, etorkizunean ager daitezke.

  • Bezeroa: AC:Basic/A:None/CI:Some/II:Some/E:Proof/TD:All
    • Sarbidearen konplexutasuna: Oinarrizkoa
    • Autentifikazioa: Bat ere ez
    • Konfidentzialitateari eragina: Moderatua
    • Osotasunari eragina: Moderatua
    • Exploit: Kontzeptu-proba
    • Helburuko banaketa: Guztiak
  • Esplotazioa: Detektatu gabe

Sarbide-kontrolen ezabatzea - SA-CORE-2025-002

Drupal core-ko ekintza sisteman akats bat dago, eta horrek erabiltzaile batzuei baimenduta ez dauden eremuak aldatu ahal izatea ahalbidetzen die ekintza masiboen bidez.

  • Bezeroa: AC:Basic/A:User/CI:Some/II:Some/E:Theoretical/TD:Default
    • Sarbidearen konplexutasuna: Oinarrizkoa
    • Autentifikazioa: Erabiltzailea
    • Konfidentzialitateari eragina: Moderatua
    • Osotasunari eragina: Moderatua
    • Exploit: Teorikoa
    • Helburuko banaketa: Lehenetsia
  • Esplotazioa: Detektatu gabe

Gadget Chain - SA-CORE-2025-003

Drupal core-k PHP objektu-injekzio potentziala dauka, eta hori beste kalteberatasun batekin konbinatuz gero, artxibo arbitrarioen barnekatzea eragin dezake eta, kasu larrietan, kodearen urruneko exekuzioa ahalbidetu.

  • Bezeroa: AC:Complex/A:Admin/CI:All/II:All/E:Theoretical/TD:Uncommon
    • Sarbidearen konplexutasuna: Konplexua
    • Autentifikazioa: Administratzailea
    • Konfidentzialitateari eragina: Guztizkoa
    • Osotasunari eragina: Guztizkoa
    • Exploit: Teorikoa
    • Helburuko banaketa: Ez ohikoa
  • Esplotazioa: Detektatu gabe

Arintzea / Soluzioa:

  • Drupal 10.3.x erabiltzen bada, eguneratu Drupal 10.3.13-ra.
  • Drupal 10.4.x erabiltzen bada, eguneratu Drupal 10.4.3-ra.
  • Drupal 11.0.x erabiltzen bada, eguneratu Drupal 11.0.12-ra.
  • Drupal 11.1.x erabiltzen bada, eguneratu Drupal 11.1.3-ra.
  • Drupal 10.3 baino lehenagoko Drupal 10 bertsio guztiak bizitza-zikloaren amaierara iritsi dira eta ez dute segurtasun-eguneraketarik jasoko.
  • Drupal 8 eta Drupal 9 bizitza-zikloaren amaierara iritsi dira eta ez dute segurtasun-eguneraketarik jasoko.

Erreferentzia Gehigarriak