Drupal advierte sobre múltiples vulnerabilidades críticas


Drupal emitió un aviso de seguridad de cuatro vulnerabilidades críticas calificadas de moderadamente críticas a críticas. Las vulnerabilidades afectan a las versiones 9.3 y 9.4 de Drupal.

El aviso de seguridad advirtió que las diversas vulnerabilidades podrían permitir que un hacker ejecute código arbitrario, poniendo en riesgo un sitio y un servidor.

Estas vulnerabilidades no afectan a la versión 7 de Drupal.

Además, cualquier versión de Drupal anterior a la 9.3.x ha alcanzado el estado de fin de vida útil, lo que significa que ya no recibe actualizaciones de seguridad, lo que hace que su uso sea riesgoso.

Vulnerabilidad crítica: ejecución arbitraria de código PHP

Una vulnerabilidad de ejecución de código PHP arbitrario es aquella en la que un atacante puede ejecutar comandos arbitrarios en un servidor.

La vulnerabilidad surgió involuntariamente debido a dos características de seguridad que supuestamente bloquean la carga de archivos peligrosos pero fallaron porque no funcionaron bien juntas, lo que resultó en la vulnerabilidad crítica actual que puede resultar en una ejecución remota de código.

Según Drupal:

“…las protecciones para estas dos vulnerabilidades anteriormente no funcionaban correctamente juntas.

Como resultado, si el sitio estuviera configurado para permitir la carga de archivos con una extensión htaccess, los nombres de archivo de estos archivos no se desinfectarían adecuadamente.

Esto podría permitir eludir las protecciones proporcionadas por los archivos .htaccess predeterminados del núcleo de Drupal y la posible ejecución remota de código en los servidores web Apache”.

Una ejecución remota de código es cuando un atacante puede ejecutar un archivo malicioso y apoderarse de un sitio web o de todo el servidor. En este caso particular, el atacante puede atacar el propio servidor web cuando ejecuta el software del servidor web Apache.

Apache es un software de servidor web de código abierto sobre el que se ejecuta todo lo demás, como PHP y WordPress. Es esencialmente la parte del software del propio servidor.

Vulnerabilidad de omisión de entrada

Esta vulnerabilidad, clasificada como moderadamente crítica, permite que un atacante altere datos a los que se supone que no debe tener entrada.

Según el aviso de seguridad:

“Bajo ciertas circunstancias, la API de formulario principal de Drupal evalúa incorrectamente el entrada a los elementos del formulario.

…No se sabe que los formularios proporcionados por el núcleo de Drupal sean vulnerables. Sin embargo, los formularios agregados a través de módulos o temas contribuidos o personalizados pueden verse afectados”.

Múltiples vulnerabilidades

Drupal publicó un total de cuatro avisos de seguridad:

Este aviso advierte sobre múltiples vulnerabilidades que afectan a Drupal y que pueden exponer un sitio a diferentes tipos de ataques y resultados.

Estos son algunos de los posibles problemas:

  • Ejecución de código PHP arbitrario
  • Secuencias de comandos entre sitios
  • galletas filtradas
  • Vulnerabilidad de omisión de entrada
  • Acceso a datos no autorizado
  • Vulnerabilidad de divulgación de información

Se recomienda actualizar Drupal

El aviso de seguridad de Drupal recomendaba actualizar inmediatamente las versiones 9.3 y 9.4.

Los usuarios de la versión 9.3 de Drupal deben actualizar a la versión 9.3.19.

Los usuarios de la versión 9.4 de Drupal deben actualizar a la versión 9.4.3.

Citación

Avisos de seguridad del núcleo de Drupal

Núcleo Drupal – Crítico – Ejecución arbitraria de código PHP

Imagen destacada de Shutterstock/solarseven





Consultar el artículo en la publicación original

Drupal advierte sobre múltiples vulnerabilidades críticas
A %d blogueros les gusta esto: