Összefoglaló
A Drupal több sérülékenysége vált ismertté, amelyeket kihasználva tetszőleges kód futtatható a rendszeren, illetve hozzáférés szerezhető bizonyos fájlokhoz.
Leírás
A Drupal 7-es és 8-as verzióiban fedeztek fel több hibát: a PECL YAML értelmező nem kezeli megfelelően a PHP objektumokat a Drupal Core bizonyos műveletei során, amely távoli kódfuttatásra ad lehetőséget. A névtelen felhasználói fiókkal feltöltött fájlok más anonymous felhasználók számára is hozzáférhetővé válnak.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Frissítsen a Drupal 7.56, illetve a 8.3.4 verzióra.
Támadás típusa
Information disclosure (Információ/adat szivárgás)execute arbitrary code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.drupal.org
Egyéb referencia: securitytracker.com
Egyéb referencia: tools.cisco.com
CVE-2017-6920 - NVD CVE-2017-6920
CVE-2017-6921 - NVD CVE-2017-6921
CVE-2017-6922 - NVD CVE-2017-6922