Drupal Core zawiera podatność polegającą na deserializacji niezaufanych danych (CWE-502), która może prowadzić do zdalnego wykonania kodu (RCE). Podatność jest oceniana jako krytyczna (CVSS 9.8), ponieważ w połączeniu z inną luką umożliwia atakującemu pełne przejęcie kontroli nad serwerem.
▸ Pokaż oryginał (EN)
Deserialization of Untrusted Data vulnerability in Drupal Core allows Object Injection.This issue affects Drupal Core: from 7.0 before 7.102, from 8.0.0 before 10.2.11, from 10.3.0 before 10.3.9. Drupal core contains a chain of methods that is exploitable when an insecure deserialization vulnerability exists on the site. This so-called gadget chain presents no direct threat but is a vector that can be used to achieve remote code execution if the application deserializes untrusted data due to another vulnerability.
W Drupal Core istnieje łańcuch metod (tzw. gadget chain), który sam w sobie nie stanowi bezpośredniego zagrożenia, ale staje się wektorem ataku, gdy aplikacja deserializuje niezaufane dane wskutek innej podatności w witrynie. Atakujący może wykorzystać tę gadget chain do wykonania dowolnego kodu na serwerze (Object Injection prowadzące do RCE). Mechanizm opiera się na manipulowaniu serializowanymi obiektami PHP, które — po deserializacji — wywołują niebezpieczny łańcuch metod wbudowanych w rdzeń Drupala.
Atakujący może uzyskać pełną kontrolę nad serwerem — włącznie z odczytem i modyfikacją danych, instalacją backdoorów oraz przejęciem systemu — jeśli na witrynie istnieje inna podatność umożliwiająca deserializację niezaufanych danych.
Należy zaktualizować Drupal Core do wersji 7.102, 10.2.11 lub 10.3.9 odpowiednio do używanej gałęzi. Szczegółowe informacje dostępne w poradniku producenta: https://www.drupal.org/sa-core-2024-008
Drupal Core w wersjach od 7.0 przed 7.102, od 8.0.0 przed 10.2.11 oraz od 10.3.0 przed 10.3.9.
Podatność sama w sobie nie jest bezpośrednio eksploitowalna — gadget chain wymaga współistnienia innej podatności umożliwiającej deserializację niezaufanych danych na tej samej witrynie. Mimo to ocena CVSS wynosi 9.8 ze względu na krytyczne skutki w przypadku łącznego wykorzystania.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDrupal
APPDrupal7.0 – 7.102 (bez)8.0.0 – 10.2.11 (bez)10.3.0 – 10.3.9 (bez)
Powiązane podatności
A remote code execution vulnerability exists within multiple subsystems of Drupal 7.x and 8.x. This potentiall...
Drupal before 7.58, 8.x before 8.3.9, 8.4.x before 8.4.6, and 8.5.x before 8.5.1 allows remote attackers to ex...
Deserializacja niezaufanych danych w Drupal Core umożliwia RCE
Deserialization podatności w Drupal Core umożliwiająca RCE (Object Injection)
Drupal's JSON:API and REST/File modules allow file uploads through their HTTP APIs. The modules do not correct...