Notificar incidente

Alertas de Segurança

Alerta de Vulnerabilidades - Drupal

tipo Vulnerabilidades
Sistemas afetadosPlataformas Drupal
Ecossistema Outro

Descrição

A plataforma Drupal lançou uma atualização de segurança para corrigir uma vulnerabilidade associada à falta de sanitização no carregamento (upload) de ficheiros.

impacto

Quando explorada com sucesso, esta vulnerabilidade pode permitir ao atacante efetuar o upload de ficheiros (com dupla extensão) que posteriormente podem ser executados, permitindo ao atacante assumir o controlo do website.

Resolução

Atualizar para as seguintes versões:
- Versão Drupal 9.0, atualizar para versão Drupal 9.0.8
- Versão Drupal 8.9, atualizar para versão Drupal 8.9.9
- Versão Drupal 8.8, atualizar para versão Drupal 8.8.11
- Versão Drupal 7, atualizar para versão Drupal 7.74

As versões Drupal anteriores a 8.8.8, são consideras em fim de vida e como tal não vão receber esta atualização.

Sugerímos também que seja efetuada uma auditoria aos ficheiros que foram carregados de forma a ser verificado se podem existir ficheiros/extensões maliciosas.
Pode ser consultada uma lista de extensões[1] susceptíveis de serem utilizadas nesta vulnerabilidade.

Referências

[1] https://www.drupal.org/sa-core-2020-012
[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13671