Drupal, gestori lanciano allarme per infiltrazione Hacker

Date:

Share post:

Milioni di siti che eseguono il sistema di gestione dei contenuti Drupal, rischiano di essere “dirottati” su una vulnerabilità che consente agli hacker di eseguire in remoto un codice dannoso. A lanciare l’allarme i responsabili del progetto open source stesso lo scorso mercoledì.

Il problema deriva dall’incapacità di convalidare sufficientemente l’input dell’utente, come hanno spiegato i gestori in un advisory. Gli hacker che hanno sfruttato la vulnerabilità potrebbero, in alcuni casi, eseguire codici di loro scelta su siti Web vulnerabili. Il difetto è valutato altamente critico.

 

In cosa consiste attacco Hacker a Drupal

Come spiega l’advisory:

“Alcuni tipi di campo non disinfettano correttamente i dati da fonti non formali. Questo può portare ad un’esecuzione arbitraria del codice PHP in alcuni casi.”

Affinché un sito sia vulnerabile, è necessario soddisfare una delle seguenti condizioni: Il modulo Drupal 8 RESTful Web Services (rest) è abilitato e consente le richieste PATCH o POST. O Ha un altro modulo di servizi Web abilitato, come JSON: API in Drupal 8, o Servizi o RESTful Web Services in Drupal.

I gestori sollecitano gli amministratori di siti Web vulnerabili ad aggiornarli contemporaneamente. Per i siti che eseguono la versione 8.6.x, questo comporta l’aggiornamento a 8.6.10 e i siti che eseguono 8.5.x o precedenti aggiornando a 8.5.11.

I siti devono anche installare tutti gli aggiornamenti di sicurezza disponibili per i progetti contribuiti dopo aver aggiornato il core Drupal. Per Drupal 7 non è richiesto alcun aggiornamento di base, ma diversi moduli di Drupal 7 hanno bisogno di aggiornamenti.

Drupal è il terzo CMS più utilizzato dietro WordPress e Joomla. Con una percentuale stimata tra il 3 e il 4 percento dei siti Web miliardi in più del mondo, Drupal gestisce decine di milioni di siti. Gli errori critici in qualsiasi CMS sono popolari con gli hacker, perché le vulnerabilità possono essere scatenate contro un numero elevato di siti con un singolo script. Peraltro spesso facile da scrivere.

Luca Scialò
Luca Scialòhttps://lucascialo.altervista.org/
Sociologo, blogger e articolista

Related articles

WhatsApp introduce gli avvisi per gli aggiornamenti di stato

WhatsApp continua a portare in campo funzioni riguardanti gli aggiornamenti di stato. Scovate nell'ultima beta dell'app per dispositivi...

Elezioni americane: come gli astronauti americani votano dallo spazio

Gli astronauti americani, anche quando sono in orbita sulla Stazione Spaziale Internazionale (ISS), non rinunciano al diritto di...

L’olio di palma e la Sclerosi Multipla: come una dieta ricca di grassi saturi può peggiorare i sintomi

L'olio di palma è da tempo oggetto di discussioni per i suoi effetti sulla salute. È ampiamente utilizzato...

Recensione Asus Zenbook S 14: notebook duraturo con Intel Lunar Lake

Asus Zenbook S 14 (modello UX5406SA) è un notebook destinato a durare per molti anni, un dispositivo che...