Vulnerabilità riscontrate al 19 Aprile 2019

Riportiamo di seguito le vulnerabilità riscontrate all 19 Aprile 2019.

Ai fini di proteggere i sistemi e le applicazioni che si utilizzano, è necessario monitorare e aggiornare costantemente le applicazioni e i sistemi stessi, facendo attenzione a visualizzare le vulnerabilità che ogni giorno vengono segnalate.

Per oggi, 19 Aprile, sono emerse le seguenti vulnerabilità, riportate per punti e con allegati i link o le patch per ulteriori approfondimenti

Drupal

Sono stati rilasciati nuovi aggiornamenti di sicurezza che risolvono due vulnerabilità considerate “moderatamente critiche” nel codice “core” del noto CMS Drupal versione 7.x e 8.x.

Queste vulnerabilità sono state riscontrate e risolte nelle seguenti versioni di Drupal:

  • Drupal 7.66
  • Drupal 8.6.15
  • Drupal 8.5.15

Si segnala inoltre un aggiornamento rilasciato lo scorso 20 marzo che riguarda una vulnerabilità “moderatamente critica” di tipo cross-site scripting già risolta nelle versioni 7.65, 8.6.13 e 8.5.14 di Drupal.

Si raccomanda a tutti i gestori di siti Web che utilizzano questo CMS di aggiornare la propria piattaforma al più presto.

Samsung

Samsung ha rilasciato l’aggiornamento di sicurezza del mese di Aprile per Galaxy S10, Galaxy S10e e Galaxy S10 +.

L’aggiornamento è in fase di roll-out tramite OTA e va a risolvere cinque vulnerabilità critiche e una dozzina di vulnerabilità ad alto rischio nel sistema operativo Android e quindici vulnerabilità che sono specifiche del firmware Samsung.

L’aggiornamento in questione introduce altresì nuove funzionalità per lo smartphone top di gamma di Samsung

Sangfor

WAC su Sangfor Sundray WLAN Controller versione 3.7.4.2 e precedenti ha un problema di esecuzione di codice remoto che consente agli autori di attacchi remoti di ottenere pieno accesso al sistema, poiché i metacaratteri della shell nell’intestazione del cookie nginx_webconsole.php possono essere utilizzati per leggere un file / config / file wac / wns_cfg_admin_detail.xml contenente la password dell’amministratore.

WordPress

Nuova vulnerabilità per WordPress. Questa è legata al caricamento di file senza limitazioni nel plugin SupportCandy tramite 2.0.0 per WordPress, il quale può consentire agli autori di attacchi remoti di eseguire codice arbitrario caricando un file con un’estensione eseguibile.

Si raccomanda agli utenti di aggiornare la piattaforma al più presto.