Su questa pagina: [nascondere]
Il tuo sito web è in esecuzione su Drupal? Se è così, attenzione, poiché i ricercatori sulla sicurezza hanno scoperto una debolezza della sicurezza nel sistema che deve essere corretta immediatamente. La vulnerabilità, CVE-2020-13671 è fondamentale e può portare a acquisizioni di siti se sfruttato con successo. Se il tuo sito web è effettivamente in esecuzione su Drupal, dovresti anche monitorarlo per tentativi di attacco sfruttando il difetto.
CVE-2020-13671 Buco critico nei siti Drupal
Secondo la sua descrizione ufficiale, il difetto esiste perché il core Drupal nella sua versione standard non disinfetta correttamente nomi di file specifici sui file caricati. Questa condizione vulnerabile potrebbe far sì che i file vengano interpretati come aventi un'estensione errata e serviti come tipo MIME errato. Gli hacker potrebbero anche eseguire questi file come PHP per configurazioni di hosting specifiche. La vulnerabilità CVE-2020-13671 interessa Drupal Core 9.0 versioni precedenti 9.0.8, 8.9 versioni precedenti 8.9, 8.8 versioni precedenti 8.8.11, e 7 versioni precedenti 7.74.
In altre parole, un file dannoso può anche essere interpretato nel modo descritto sopra. per fortuna, le correzioni sono già disponibili, e gli amministratori del sito web dovrebbero aggiornare le loro configurazioni Drupal il prima possibile. Drupal non ha confermato se il difetto sia stato abusato in natura, ma gli amministratori dovrebbero controllare i file caricati in precedenza per verificare la presenza di estensioni dannose. Se non sai dove guardare, cerca i file che includono più di un'estensione, come filename.php.txt o filename.html.gif, senza un trattino basso (_) nell'estensione.
"Prestare particolare attenzione alle seguenti estensioni di file, che dovrebbe essere considerato pericoloso anche se seguito da una o più estensioni aggiuntive: phar, php, pl, py, cgi, asp, js, html, htm, phtml. Questo elenco non è esaustivo, quindi valuta caso per caso i problemi di sicurezza per altre estensioni non memorizzate,” Drupal ha detto nel suo avviso.
Altro su Drupal
Drupal è un CMS gratuito e open source. È il quarto sistema di gestione dei contenuti più comune dopo WordPress, Shopify, e Joomla. In passato si sono verificati attacchi contro siti che eseguono Drupal. Se il tuo sito web funziona su questo CMS, attenzione che la versione 7.x di Drupal raggiungerà la fine del suo ciclo di vita nel novembre del prossimo anno. Potresti iniziare a pianificare l'upgrade prima che sia troppo tardi.
Recentemente, abbiamo scritto di alcune vulnerabilità che ha messo in pericolo milioni di siti WordPress. Ricordati di controllare tutti i plugin installati, widgets, e altre app, e assicurati che siano in esecuzione sulle ultime versioni possibili. La regola si applica a qualsiasi sistema di gestione dei contenuti.