Plataforma
drupal
Componente
drupal
Corrigido em
10.2.11
10.3.9
11.0.8
10.2.11
10.2.11
10.2.11
10.2.11
CVE-2024-55636 descreve uma potencial vulnerabilidade de Injeção de Objeto PHP no Drupal Core. Se combinada com outro exploit, essa falha pode resultar na exclusão arbitrária de arquivos. A vulnerabilidade não é diretamente explorável, necessitando de uma falha separada que permita a passagem de entradas não seguras para a função unserialize(). A versão 10.2.11 corrige esta vulnerabilidade.
A CVE-2024-55636 afeta o núcleo do Drupal, apresentando uma potencial vulnerabilidade de Injeção de Objetos PHP. Quando combinada com outro exploit, pode levar à Exclusão Arbitrária de Arquivos. É importante notar que esta vulnerabilidade não é diretamente explorável em seu estado atual. A pontuação CVSS foi classificada em 9.8, indicando um risco alto, mas a necessidade de uma condição pré-requisito limita significativamente seu impacto imediato.
A exploração bem-sucedida da CVE-2024-55636 depende da presença de outra vulnerabilidade que permita a manipulação da entrada para a função unserialize(). Sem essa condição pré-requisito, a injeção de objetos PHP não pode ser aproveitada para a exclusão de arquivos. A comunidade Drupal está monitorando ativamente a situação e recomenda manter o núcleo e os módulos atualizados para minimizar qualquer risco potencial.
Organizations running Drupal Core versions 9.5.9 and earlier, particularly those with complex module configurations or custom code that might introduce vulnerabilities allowing input to unserialize(), are at risk. Shared hosting environments utilizing Drupal Core are also potentially vulnerable due to the shared nature of the infrastructure.
disclosure
Status do Exploit
EPSS
8.79% (percentil 92%)
Vetor CVSS
A principal mitigação reside no fato de que, para explorar esta vulnerabilidade, deve haver uma vulnerabilidade separada que permita a um atacante passar dados inseguros para a função unserialize(). Atualmente, não existem exploits conhecidos no núcleo do Drupal que atendam a esse requisito. O Drupal implementou medidas preventivas, incluindo a adição de tipos a propriedades em alguns de seus componentes, para fortalecer a segurança e reduzir a superfície de ataque.
Actualice Drupal Core a la última versión disponible. Para las versiones 8.x a 10.2.x, actualice a la versión 10.2.11 o superior. Para las versiones 10.3.x, actualice a la versión 10.3.9 o superior. Para las versiones 11.0.x, actualice a la versión 11.0.8 o superior.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Indica um risco alto, mas a necessidade de uma vulnerabilidade anterior limita a exploração.
Sim, atualizar para a versão 10.2.11 ou superior é altamente recomendável para aplicar as mitigations.
Atualmente, não existem exploits conhecidos no núcleo do Drupal que permitam a exploração direta.
Mantenha o Drupal e todos os módulos atualizados, e revise a segurança de quaisquer módulos de terceiros.
É uma técnica que permite a um atacante injetar objetos PHP maliciosos em um aplicativo.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo composer.lock e descubra na hora se você está afetado.