CVE-2024-55637

Nome do software vulnerável e versões afetadas:

Versões do Drupal Core 8.0.0 a 10.2.10

Versões do Drupal Core 10.3.0 a 10.3.8

Versões do Drupal Core 11.0.0 a 11.0.7

Descrição:

O problema está relacionado à desserialização de dados não confiáveis, o que permite a injeção de objetos. Isso pode potencialmente levar à execução remota de código se o aplicativo desserializar dados não confiáveis devido a outra vulnerabilidade. Uma cadeia de gadgets no Drupal Core pode ser explorada quando existe uma vulnerabilidade de desserialização insegura, apresentando um vetor para a execução remota de código. A vulnerabilidade é mitigada pelo fato de que uma vulnerabilidade separada deve estar presente para permitir que um invasor passe uma entrada insegura para unserialize().

Recomendações:

Para as versões 8.0.0 a 10.2.10, atualize para a versão 10.2.11 ou posterior.

Para as versões 10.3.0 a 10.3.8, atualize para a versão 10.3.9 ou posterior.

Para as versões 11.0.0 a 11.0.7, atualize para a versão 11.0.8 ou posterior.

Como solução temporária, considere adicionar tipos às propriedades nas subclasses das classes do núcleo do Drupal para evitar um TypeError. Restrinja o acesso à função unserialize() para minimizar o risco de exploração.