No Drupal versão 8.7.4, quando o módulo experimental Workspaces está habilitado, uma condição de bypass de acesso é criada.
Tag: Drupal
ASA-2019-00153 – Drupal: O upload de um arquivo pode acionar uma vulnerabilidade de Cross-Site Scripting (XSS)
Em determinadas circunstâncias, o módulo/subsistema File permite que um usuário mal-intencionado carregue um arquivo que pode acionar um Cross-Site Scripting (XSS).
ASA-2019-00108 – Drupal: Execução remota de código se módulo REST estiver ativado
Alguns tipos de campo não limpam adequadamente os dados de fontes que não são de formulário. Isso pode levar à execução de código PHP arbitrário em alguns casos. Um site só é afetado por isso se uma das seguintes condições for atendida: O site tem o módulo principal de RESTful Web Services (rest) do Drupal 8 habilitado e permite solicitações GET, PATCH ou POST, ou site tem outro módulo de web service ativado, como JSON: API no Drupal 8, ou Serviços ou Serviços Web RESTful no Drupal 7.
ASA-2019-00015 – Drupal: Execução de código PHP arbitrário
Existe uma vulnerabilidade de execução remota de código no wrapper phar do PHP ao executar operações de arquivo em uma URI phar:// não confiável. Algum código do Drupal (núcleo, contrib e customizado) pode estar executando operações de arquivo em entradas do usuário insuficientemente validadas, sendo, portanto, exposto a essa vulnerabilidade.
ASA-2019-00014 – Drupal: Execução remota de código através de arquivo phar:// no pacote Archive_Tar
O núcleo do Drupal usa a biblioteca PEAR Archive_Tar de terceiros. Esta biblioteca lançou uma atualização de segurança que afeta algumas configurações do Drupal. Consulte o CVE-2018-1000888 para detalhes.