Drupal ha una vulnerabilità nella funzione password reset

A quanto pare il CMS Drupal ha all’interno del suo cuore e alla base della funzione password reset, una vulnerabilità che mette a rischio la sicurezza di moltissimi siti web e degli utenti che utilizzano questa piattaforma per sviluppare i proprio progetti web.

Secondo la nota rilasciata dal team Drupal, è consigliato l’aggiornato alle release Drupal 6.35 e Drupal 7.35, in questo modo potete usufruire della patch messa sopra la vulnerabilità riguardante la funzione password reset.

drupal-bug password-reset

Drupal Password Reset/Access Bypass: come funziona

Il malintenzionato sfruttando la funzione password reset può baypassare l’accesso e ottenere l’accesso non autorizzato agli account presenti in un determinato sito senza conoscere le password delle vittime.

Questa vulnerabilità è considerata attualmente moderatamente critica, in quanto l’aggressore può ingannare l’amministratore oppure gli utenti registrati al sito basato su Drupal, inviandogli un URL camuffato da un messaggio tipico della funzione password reset per poi prendere il controllo del progetto wb della vittima.

Le due versioni del CMS Drupl, cioè quelle precedenti alla versione 6.35 e la 7.35, sono suscettibile a questa vulnerabilità di reidirizzamento all’apertura dell’URL e danno la possibilità all’attaccante di reindirizzare le vittime verso pagine realizzate da terzi per ingannare le vittime e rubare loro le credenziali di accesso.

Secondo il tema impegnato nello sviluppo e mantenimento di Drupal, pare che vi siano varie funzioni API-URL relative a questa vulnerabilità e che sono presenti nel cuore di Drupal 6 e Drupal 7. Quindi ribadiscono che è importante aggiornare il CMS Drupal all’ultimissima versione, avendo così la possibilità di utilizzare una versione del CMS con la patch necessaria e in questo moto i malintenzionati non possono utilizzare la tecnica del Reindirizzamento URL per colpire.

Questo bug mette a rischio oltre un miliardo di siti web, considerando il fatto che questo è il terzo CMS più utilizzato al mondo dopo WordPress (primo) e Joomla (secondo). In più Drupal viene utilizzato anche da aziende importanti come MIT, Sony Music, Popolar Science ed MTV.

Diffendersi dal Password Reset/Access Bypass:

  1. Aggiornare Drupal all’ultima versione, cioè Drupal 6.35 e Drupal 7.35
  2. Non cliccare su link provenienti da fonti sconosciute
  3. Non aprire allegati di posta provenienti da fonti sconosciute oppure non attendibili

Per il momento questo è tutto, voi continuate a seguirci da vicino per altri dettagli e novità dal mondo dei CMS e di Drupal.

Seguiteci anche su Facebook, Google Plus, Tumblr e Twitter, per restare sempre in contatto con noi e con le nostre guide.

Link Utili:

  1. drupalitalia.org
  2. drupal.it

VIA



Cerca

Seguici

Live da Facebook
Live da Twitter
Seguici su Telegram
Canale InsiDevCode Telegram