Drupal Remote Code Execution
CVE-2019-6340
Bronnen
https://www.drupal.org/sa-core-2019-003
Risico’s
Drupal heeft patches uitgebracht tegen een kwetsbaarheid in Drupal Core. Een aanvaller kan deze kwetsbaarheid van op afstand uitbuiten om code uit te voeren op de server.
Beschrijving
De kwetsbaarheid, geregistreerd als CVE-2019-6340, wordt beschouwd als kritiek door Drupal. Er is een Proof of Concept beschikbaar.
Een Drupal instantie is kwetsbaar wanneer de Drupal 8 RESTful Web Services enabled zijn en PATCH en of POST requests toegelaten zijn. Een Drupal instantie is ook kwetsbaar wanneer er andere web services modules enabled zijn zoals JSON:API in Drupal 8, Services in Drupal 8 of RESTful Web Services in Drupal 7.
De kwetsbaarheid komt voor doordat een aantal types van velden de waardes niet voldoende filteren. Dit kan leiden tot PHP code executie.
Aanbevolen acties
CERT.be raadt administrators aan om hun Drupal instanties zo snel mogelijk up te daten.
- Indien versie Drupal 8.6.x gebruikt wordt, moet u upgraden naar Drupal 8.6.10.
- Indien versie Drupal 8.5.x gebruikt wordt, moet u upgraden naar Drupal 8.5.11.
- Installeer zeker alle beschikbare security updates voor niet-core projecten na het updaten van Drupal Core.
- Er is geen core update nodig voor Drupal 7, maar verschillende Drupal 7 niet-core modules moeten gepatched worden.
- Versies van Drupal 8 voor 8.5.x zijn End of Life en krijgen geen security updates meer.
Indien het niet mogelijk is om meteen te patchen, dan kan de kwetsbaarheid verholpen worden door alle web service modules uit te schakelen of door uw systeem te configureren om geen PUT/PATCH of POST requests naar web services toe te laten.