Sintesi

Aggiornamenti di sicurezza risolvono diverse vulnerabilità, in Drupal. Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente malintenzionato di tali vulnerabiltà potrebbero permettere l’esecuzione di codice da remoto e/o il bypass dei meccanismi di sicurezza sui sistemi target.

Tipologia

• Arbitrary Code Execution
• Security Restrictions Bypass

Prodotti e versioni affette

Drupal core

• versioni dalla 8.8 alla 10.2

• versione 10.3 e 11

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza disponibile nella sezione Riferimenti.

Si evidenzia che per tutte le versioni di Drupal 8, Drupal 9 e per le versioni Drupal 10 precedenti alla 10.2 il vendor non rilascerà alcun workaround e/o patch considerata la data di fine supporto (EOL).

Riferimenti

https://www.drupal.org/sa-core-2024-003

https://www.drupal.org/sa-core-2024-004

https://www.drupal.org/sa-core-2024-005

https://www.drupal.org/sa-core-2024-007

https://www.drupal.org/sa-core-2024-008

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.