Drupal advierte sobre dos vulnerabilidades críticas


Drupal anunció dos vulnerabilidades que afectan a las versiones 9.2 y 9.3 que podrían permitir que un atacante cargue archivos maliciosos y tome el control de un sitio. Los niveles de amenaza de las dos vulnerabilidades se clasifican como moderadamente críticos.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) advirtió que los exploits podrían llevar a un atacante a tomar el control de un sitio web vulnerable basado en Drupal.

CISA declaró:

“Drupal ha lanzado actualizaciones de seguridad para tocar las vulnerabilidades que afectan a Drupal 9.2 y 9.3.

Un atacante podría explotar estas vulnerabilidades para tomar el control de un sistema afectado”.

Drupal

Drupal es un popular sistema de gestión de contenido de código abierto escrito en el lenguaje de programación PHP.

Muchas organizaciones importantes como la Institución Smithsonian, Universal Music Group, Pfizer, Johnson & Johnson, la Universidad de Princeton y la Universidad de Columbia utilizan Drupal para sus sitios web.

API de formulario: validación de entrada incorrecta

La primera vulnerabilidad afecta a la API de formularios de Drupal. La vulnerabilidad es una validación de entrada incorrecta, lo que significa que lo que se carga a través de la API del formulario no se valida en cuanto a si está permitido o no.

Validar lo que se carga o ingresa en un formulario es una buena práctica común. En general, la validación de entrada se realiza con un enfoque de lista de permitidos en el que el formulario espera entradas específicas y rechazará todo lo que no se corresponda con la entrada o carga esperada.

Cuando un formulario no puede validar una entrada, deja el sitio web abierto a la carga de archivos que pueden desencadenar un comportamiento no deseado en la aplicación web.

El anuncio de Drupal explicó el problema específico:

“La API de formularios del núcleo de Drupal tiene una vulnerabilidad en la que ciertos formularios de módulos personalizados o contribuidos pueden ser vulnerables a una validación de entrada incorrecta. Esto podría permitir que un atacante inyecte valores no permitidos o sobrescriba datos. Los formularios afectados son poco comunes, pero en ciertos casos un atacante podría alterar datos críticos o confidenciales”.

Núcleo de Drupal: omisión de entrada

La omisión de entrada es una forma de vulnerabilidad en la que puede haber una forma de consentir a una parte del sitio a través de una ruta que no tiene una verificación de control de entrada, lo que da como resultado que, en algunos casos, un usuario pueda obtener entrada a niveles que no tiene. permisos para.

El anuncio de Drupal describió la vulnerabilidad:

“Drupal 9.3 implementó una API de acceso a entidades genéricas para revisiones de entidades. Sin embargo, esta API no estaba completamente integrada con los permisos existentes, lo que resultó en una posible omisión de acceso para los usuarios que tienen acceso para usar revisiones de contenido en general, pero que no tienen acceso a elementos individuales de nodo y contenido multimedia”.

Se alienta a los editores a revisar los avisos de seguridad y aplicar actualizaciones

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) y Drupal alientan a los editores a revisar los avisos de seguridad y actualizar a las últimas versiones.

Citas

Lea el boletín oficial de vulnerabilidades de Drupal de CISA

Drupal lanza actualizaciones de seguridad

Lea los dos anuncios de seguridad de Drupal

Núcleo de Drupal – Moderadamente crítico – Validación de entrada incorrecta – SA-CORE-2022-008

Núcleo de Drupal – Moderadamente crítico – Omisión de entrada – SA-CORE-2022-009





Consultar el artículo en la publicación original

Drupal advierte sobre dos vulnerabilidades críticas
A %d blogueros les gusta esto: