CVE-2024-55638

Nome do software vulnerável e versões afetadas:

Versões do Drupal Core 7.0 a 7.101

Versões do Drupal Core 8.0.0 a 10.2.10

Versões do Drupal Core 10.3.0 a 10.3.8

Descrição:

O problema está relacionado à desserialização de dados não confiáveis, o que permite a injeção de objetos. Isso pode potencialmente levar à execução remota de código se o aplicativo desserializar dados não confiáveis devido a outra vulnerabilidade. Uma cadeia de gadgets no Drupal Core pode ser explorada quando existe uma vulnerabilidade de desserialização insegura, apresentando um vetor para a execução remota de código. A vulnerabilidade não é diretamente explorável e requer uma vulnerabilidade separada para permitir que um invasor passe uma entrada insegura para unserialize().

Recomendações:

Para as versões 7.0 a 7.101, atualize para a versão 7.102 ou posterior.

Para as versões 8.0.0 a 10.2.10, atualize para a versão 10.2.11 ou posterior.

Para as versões 10.3.0 a 10.3.8, atualize para a versão 10.3.9 ou posterior.

Como solução temporária, considere adicionar verificações adicionais ao código do banco de dados para ajudar a proteger contra essa vulnerabilidade potencial. Se estiver usando um driver de banco de dados de terceiros, verifique as notas de lançamento para etapas de configuração adicionais que possam ser necessárias em certos casos.