Las actualizaciones anunciadas para Drupal esta semana abordan una vulnerabilidad grave en Twig que podría filtrar información confidencial.
Drupal es un sistema de gestión de contenido web de código abierto basado en PHP que ha utilizado Twig como motor de modelado predeterminado desde Drupal 8, que se lanzó por primera vez en noviembre de 2015.
Rastreada como CVE-2022-39261, la vulnerabilidad podría permitir que un atacante cargue modelos fuera de un directorio configurado, a través del cargador del sistema de archivos.
«Al usar el cargador del sistema de archivos para cargar plantillas cuyo nombre es ingresado por el usuario, es posible usar la declaración ‘fuente’ o ‘incluir’ para leer archivos arbitrarios fuera del directorio de plantillas cuando se usa un espacio de nombres como ‘@somewhere/ . ./some.file’ (en este caso, se omite la validación)”, explica Twig.
A la vulnerabilidad se le ha asignado una clasificación de gravedad de «alta» o «crítica» según el sistema de clasificación utilizado por Drupal. Twig corrigió la falla con el lanzamiento de las versiones 1.44.7, 2.15.3 y 3.4.3.
«Son posibles varias vulnerabilidades si un usuario no confiable tiene acceso para escribir código Twig, incluido el posible acceso de lectura no autorizado a archivos privados, el contenido de otros archivos en el servidor o credenciales básicas de datos», señala Drupal en un aviso.
La falla de seguridad se ve mitigada por el hecho de que un atacante requiere permiso administrativo de acceso restringido para explotar la vulnerabilidad. Sin embargo, Drupal señala que el código personalizado o contribuido que permite a los usuarios escribir plantillas Twig puede crear rutas de explotación adicionales.
Drupal corrigió la vulnerabilidad con el lanzamiento de Drupal 9.4.7 y Drupal 9.3.22. Si bien las versiones al final de su vida útil anteriores a Drupal 9.3 no recibirán un parche, las iteraciones principales de Drupal 7 no se verán afectadas, ya que no incluyen Twig.
Esta semana, Drupal también anunció una solución para el sistema de archivos S3, para solucionar un problema de omisión de acceso. El módulo, que se supone que permite que el almacenamiento compatible con S3 se use como un sistema de archivos Drupal, no «impide suficientemente el acceso a los archivos en múltiples esquemas de sistemas de archivos almacenados en el mismo depósito».
«Esta vulnerabilidad se ve mitigada por el hecho de que un atacante debe obtener un método para acceder a rutas de archivo arbitrarias, el sitio debe tener habilitada la toma de control pública o privada, y se debe omitir la caché de metadatos del archivo», señala Drupal.
Se recomienda a los usuarios que confían en el módulo del sistema de archivos S3 para Drupal 7.x que actualicen a la versión 7.x-2.14 del módulo, que soluciona la vulnerabilidad.
Relacionado: Drupal Updates corrige otra vulnerabilidad de archivo
Relacionado: Omisión de acceso, vulnerabilidades de sobrescritura de datos parcheadas en Drupal
Relacionado: Ejecución de código y otras vulnerabilidades corregidas en Drupal
