Impatto Sistemico

Medio (64.35)

Sintesi

Rilevata una vulnerabilità con gravità “alta” in Drupal core. Nel dettaglio la vulnerabilità riguarda un’API per l’accesso al database che normalmente protegge dagli attacchi di tipo SQL injection. Tale vulnerabilità, qualora sfruttata permetterebe a un attaccante di inviare richieste opportunamente predisposte e sfruttare una SQL injection sui siti che utilizzano database PostgreSQL, consentendo l’accesso a informazioni sensibili sul sistema interessato.

In alcuni casi potrebbe consentire ad un utente malintenzionato di elevare i propri privilegi sui sistemi interessati e ad un utente malintenzionato remoto di eseguire codice arbitrario sui sistemi interessati.

Tipologia

• Information Disclosure
• Privilege Escalation
• Remote Code Execution.

Prodotti e/o versioni affette

Drupal core

• versioni successive alle 8.9.0 (inclusa) e precedenti alla 10.4.10
• 10.5.x versioni precedenti la 10.5.10
• 10.6.x versioni precedenti la 10.6.9
• 11.0.x versioni precedenti la 11.1.10
• 11.2.x versioni precedenti la 11.2.12
• 11.3.x versioni precedenti la 11.3.10

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare Drupal alla versione più recente disponibile.

N.B:

Si evidenzia che per tutte le versioni di Drupal 8 Drupal 9, Drupal 11.1.x, Drupal 11.0.x e precedenti alla 10.4.x il vendor non rilascerà alcun workaround e/o patch considerata la data di fine supporto (EOL).

Identificatori univoci vulnerabilità