Podatność w Drupal Core polega na deserializacji niezaufanych danych (CWE-502) i możliwości wstrzyknięcia obiektów (Object Injection). W połączeniu z inną podatnością na insecure deserialization obecną w aplikacji, może prowadzić do zdalnego wykonania kodu (RCE).
▸ Pokaż oryginał (EN)
Deserialization of Untrusted Data vulnerability in Drupal Core allows Object Injection.This issue affects Drupal Core: from 8.0.0 before 10.2.11, from 10.3.0 before 10.3.9, from 11.0.0 before 11.0.8. Drupal core contains a chain of methods that is exploitable when an insecure deserialization vulnerability exists on the site. This so called gadget chain presents no direct threat, but is a vector that can be used to achieve remote code execution if the application deserializes untrusted data due to another vulnerability.
Drupal Core zawiera łańcuch metod (tzw. gadget chain), który staje się podatny na exploitation w momencie, gdy w aplikacji istnieje inna luka umożliwiająca deserializację niezaufanych danych. Sam gadget chain nie stanowi bezpośredniego zagrożenia, jednak jest wektorem umożliwiającym osiągnięcie RCE, jeśli aplikacja deserializuje dane pochodzące z niezaufanego źródła wskutek dodatkowej podatności. Mechanizm opiera się na CWE-915 (nieprawidłowo kontrolowane masowe przypisanie właściwości) oraz CWE-502 (deserializacja niezaufanych danych).
Atakujący może osiągnąć zdalne wykonanie kodu (RCE) na serwerze, co w konsekwencji może prowadzić do pełnego przejęcia kontroli nad aplikacją, naruszenia poufności, integralności i dostępności danych.
Należy zaktualizować Drupal Core do wersji 10.2.11, 10.3.9 lub 11.0.8 zgodnie z oficjalnym komunikatem bezpieczeństwa producenta dostępnym pod adresem https://www.drupal.org/sa-core-2024-006
Drupal Core w wersjach: od 8.0.0 do 10.2.10 (przed 10.2.11), od 10.3.0 do 10.3.8 (przed 10.3.9), od 11.0.0 do 11.0.7 (przed 11.0.8)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDrupal
APPDrupal8.0.0 – 10.2.11 (bez)10.3.0 – 10.3.9 (bez)11.0.0 – 11.0.8 (bez)
Powiązane podatności
A remote code execution vulnerability exists within multiple subsystems of Drupal 7.x and 8.x. This potentiall...
Drupal before 7.58, 8.x before 8.3.9, 8.4.x before 8.4.6, and 8.5.x before 8.5.1 allows remote attackers to ex...
Deserialization gadget chain w Drupal Core umożliwiający RCE
Deserializacja niezaufanych danych w Drupal Core umożliwia RCE
Drupal's JSON:API and REST/File modules allow file uploads through their HTTP APIs. The modules do not correct...