Alert GCSA-22022 - Aggiornamento di sicurezza per Drupal
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID: GCSA-22022
Data: 17 Febbraio 2022
Titolo: Aggiornamento di sicurezza per Drupal
******************************************************************
:: Descrizione del problema
Sono state rilasciate nuove versione del CMS Drupal
che risolvono due bug di sicurezza:
Drupal core - Moderately critical - Improper input validation -
SA-CORE-2022-003
Drupal core - Moderately critical - Information disclosure -
SA-CORE-2022-004
La prima vulnerabilita' si trova nel form API e alcune form possono
essere utilizzate per iniettare impostazioni non autorizzate o
sovrascrivere dati.
La seconda vulnerabilita' riguarda il modulo Quick Edit, abilitato di default,
che potrebbe permettere l'accesso a dati a non autorizzati.
Maggiori informazioni sono disponibili nella segnalazione
ufficiale alla sezione "Riferimenti".
:: Piattaforme e software interessati
Drupal versione 7
Drupal versione 9.2
Drupal versione 9.3
:: Impatto
Information Disclosure
Sensitive Data Access
:: Soluzioni
Aggiornare alle ultime versioni di Drupal:
https://www.drupal.org/project/drupal/releases/7.88
https://www.drupal.org/project/drupal/releases/9.2.13
https://www.drupal.org/project/drupal/releases/9.3.6
:: Riferimenti
Drupal
https://www.drupal.org/sa-core-2022-003
https://www.drupal.org/sa-core-2022-004
CSIRT Italia
https://csirt.gov.it/contenuti/aggiornamenti-drupal-al01-220217-csirt-ita
Mitre CVE
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25270
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25271
GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
iEYEARECAAYFAmIOPyMACgkQwZxMk2USYEL0NQCdEH+bRJcw8Z6tXJotlEXPYWap
20UAniIuEGo9vexnIZqD8pcBejNVTgI/
=HPEV
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
Alert ID: GCSA-22022
Data: 17 Febbraio 2022
Titolo: Aggiornamento di sicurezza per Drupal
******************************************************************
:: Descrizione del problema
Sono state rilasciate nuove versione del CMS Drupal
che risolvono due bug di sicurezza:
Drupal core - Moderately critical - Improper input validation -
SA-CORE-2022-003
Drupal core - Moderately critical - Information disclosure -
SA-CORE-2022-004
La prima vulnerabilita' si trova nel form API e alcune form possono
essere utilizzate per iniettare impostazioni non autorizzate o
sovrascrivere dati.
La seconda vulnerabilita' riguarda il modulo Quick Edit, abilitato di default,
che potrebbe permettere l'accesso a dati a non autorizzati.
Maggiori informazioni sono disponibili nella segnalazione
ufficiale alla sezione "Riferimenti".
:: Piattaforme e software interessati
Drupal versione 7
Drupal versione 9.2
Drupal versione 9.3
:: Impatto
Information Disclosure
Sensitive Data Access
:: Soluzioni
Aggiornare alle ultime versioni di Drupal:
https://www.drupal.org/project/drupal/releases/7.88
https://www.drupal.org/project/drupal/releases/9.2.13
https://www.drupal.org/project/drupal/releases/9.3.6
:: Riferimenti
Drupal
https://www.drupal.org/sa-core-2022-003
https://www.drupal.org/sa-core-2022-004
CSIRT Italia
https://csirt.gov.it/contenuti/aggiornamenti-drupal-al01-220217-csirt-ita
Mitre CVE
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25270
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25271
GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
iEYEARECAAYFAmIOPyMACgkQwZxMk2USYEL0NQCdEH+bRJcw8Z6tXJotlEXPYWap
20UAniIuEGo9vexnIZqD8pcBejNVTgI/
=HPEV
-----END PGP SIGNATURE-----