Podatność w Drupal Core polega na deserializacji niezaufanych danych, co umożliwia Object Injection. W połączeniu z inną podatnością na niebezpieczną deserializację na tej samej stronie może prowadzić do zdalnego wykonania kodu (RCE).
▸ Pokaż oryginał (EN)
Deserialization of Untrusted Data vulnerability in Drupal Core allows Object Injection.This issue affects Drupal Core: from 8.0.0 before 10.2.11, from 10.3.0 before 10.3.9, from 11.0.0 before 11.0.8. Drupal core contains a chain of methods that is exploitable when an insecure deserialization vulnerability exists on the site. This so-called gadget chain presents no direct threat but is a vector that can be used to achieve remote code execution if the application deserializes untrusted data due to another vulnerability.
W Drupal Core istnieje łańcuch metod (tzw. gadget chain), który sam w sobie nie stanowi bezpośredniego zagrożenia, jednak staje się wektorem ataku, gdy w aplikacji istnieje odrębna podatność umożliwiająca deserializację niezaufanych danych. Atakujący może wstrzyknąć spreparowany obiekt (Object Injection), który zostanie przetworzony przez ten łańcuch. Skutkuje to możliwością zdalnego wykonania kodu bez konieczności uwierzytelnienia.
Atakujący może osiągnąć pełne zdalne wykonanie kodu (RCE) na serwerze, co może skutkować przejęciem kontroli nad aplikacją, kradzieżą danych lub dalszym kompromitowaniem infrastruktury.
Należy zaktualizować Drupal Core do wersji 10.2.11, 10.3.9 lub 11.0.8 (lub nowszych). Szczegółowe informacje dostępne w komunikacie bezpieczeństwa producenta: https://www.drupal.org/sa-core-2024-007
Drupal Core w wersjach: od 8.0.0 do 10.2.11 (przed 10.2.11), od 10.3.0 do 10.3.9 (przed 10.3.9), od 11.0.0 do 11.0.8 (przed 11.0.8)
Podatność wymaga zaistnienia dodatkowej podatności deserializacyjnej w tej samej instancji Drupala — sama gadget chain nie jest bezpośrednio exploitowalna. Pomimo oceny CVSS 9.8 (CRITICAL), realne ryzyko zależy od obecności uzupełniającego wektora deserializacji.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDrupal
APPDrupal8.0.0 – 10.2.11 (bez)10.3.0 – 10.3.9 (bez)11.0.0 – 11.0.8 (bez)
Powiązane podatności
A remote code execution vulnerability exists within multiple subsystems of Drupal 7.x and 8.x. This potentiall...
Drupal before 7.58, 8.x before 8.3.9, 8.4.x before 8.4.6, and 8.5.x before 8.5.1 allows remote attackers to ex...
Deserialization gadget chain w Drupal Core umożliwiający RCE
Deserialization podatności w Drupal Core umożliwiająca RCE (Object Injection)
Drupal's JSON:API and REST/File modules allow file uploads through their HTTP APIs. The modules do not correct...