Drupal: il modulo Display Suite attaccabile con XSS

Display Suite è un modulo per Drupal piuttosto diffuso, che permette di configurare facilmente l'ordine in cui vengono mostrati i campi agli utenti del sito, disaccoppiandolo dall'ordine con cui vengono mostrati agli amministratori. In questo modo si può creare un'amministrazione ottimale per chi gestisce il sito, e allo stesso tempo una grafica perfetta (mettendo i campi in ordine diverso) per gli utenti della parte pubblica.


Il problema

La vulnerabilità, scoperta dal gruppo di lavoro dedicato alla sicurezza di Drupal e dei suoi moduli, è un classico cross-site scripting (XSS), cioè la possibilità per l'attaccante di usare il sito vittima come strumento per eseguire codice malevolo. Se un utente apre nel suo browser l'indirizzo appositamente confezionato dall'attaccante, arriverà normalmente al sito vittima, ma del codice aggiuntivo verrà eseguito a sua insaputa. Da qui in poi, le conseguenze dipendono solo dalla... cattiveria dell'attaccante.

Un sito non vulnerabile a questo tipo di attacchi, in presenza di un indirizzo che aggiunge parametri non previsti (per eseguire il codice malevolo), semplicemente restituisce un errore.

Poiché Display Suite è usato nel momento in cui scriviamo da oltre 160.000 siti (oltre 1.230.000 gli scaricamenti complessivi), è facile che gli hacker inizino a cercare siti con questa vulnerabilità per cercare di sfruttarla.

La vulnerabilità è mitigata dal fatto di essere presente solo nella versione del modulo per Drupal 8, attualmente la meno diffusa. Inoltre, il sito deve avere una particolare configurazione.


Cosa fare

Per eliminare questa vulnerabilità da un sito Drupal 8 che usa Display Suite è sufficiente aggiornare il modulo alle versioni 8.x-2.7 e 8.x-3.0, scaricabili dalla pagina del modulo.

La vulnerabilità non è presente nel modulo per Drupal 7.


Approfondimenti

Fonte: 
Drupal Security Team

Commenti

Aggiungi un commento

Newsletter

Ti segnaliamo i principali avvisi di sicurezza per Magento e Drupal non appena vengono rilasciati!

Lasciaci la tua email per ricevere le nostre ultime novità e aggiornamenti!

Go to top