CVE-2024-55636

Nome do software vulnerável e versões afetadas:

Versões do Drupal Core 8.0.0 a 10.2.10

Versões do Drupal Core 10.3.0 a 10.3.8

Versões do Drupal Core 11.0.0 a 11.0.7

Descrição:

O problema está relacionado à desserialização de dados não confiáveis, o que permite a injeção de objetos. Isso pode potencialmente levar à execução remota de código se o aplicativo desserializar dados não confiáveis devido a outra vulnerabilidade. Uma cadeia de gadgets no Drupal Core pode ser explorada quando existe uma vulnerabilidade de desserialização insegura, apresentando um vetor para a execução remota de código. A vulnerabilidade também pode permitir que um invasor exclua arquivos arbitrários.

Recomendações:

Para as versões 8.0.0 a 10.2.10, atualize para a versão 10.2.11 ou posterior.

Para as versões 10.3.0 a 10.3.8, atualize para a versão 10.3.9 ou posterior.

Para as versões 11.0.0 a 11.0.7, atualize para a versão 11.0.8 ou posterior.

Como solução temporária, considere restringir o uso da função unserialize() para minimizar o risco de exploração.

Para ajudar a proteger contra essa vulnerabilidade, foram adicionados tipos às propriedades em algumas classes do núcleo do Drupal. Se um aplicativo estender essas classes, os mesmos tipos podem precisar ser especificados na subclasse para evitar um TypeError.