5.4 C
Madrid
viernes, febrero 23, 2024
spot_img

Drupal advierte de dos vulnerabilidades críticas

Drupal ha anunciado dos vulnerabilidades en las versiones 9.2 y 9.3 que podrían permitir que un atacante cargue archivos maliciosos y tome el management de un sitio net. Los niveles de amenaza de las dos vulnerabilidades se clasifican como moderadamente críticos.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) advirtió que los exploits podrían llevar a un atacante a tomar el management de un sitio net weak basado en Drupal.

CISA explicó:

“Drupal ha lanzado actualizaciones de seguridad para abordar las vulnerabilidades que afectan a Drupal 9.2 y 9.3.

Un atacante podría explotar estas vulnerabilidades para tomar el management de un sistema afectado”.

drupal

Drupal es un well-liked sistema de gestión de contenido de código abierto escrito en el lenguaje de programación PHP.

Muchas organizaciones grandes, como la Institución Smithsonian, Common Music Group, Pfizer, Johnson & Johnson, la Universidad de Princeton y la Universidad de Columbia, utilizan Drupal para sus sitios net.

API de formulario: validación de entrada incorrecta

La primera vulnerabilidad afecta a la API de formularios de Drupal. La vulnerabilidad es una validación de entrada incorrecta, lo que significa que lo que se cargue a través de la API de formularios no se validará, ya sea que esté permitido o no.

Validar lo que se carga o ingresa en un formulario es una buena práctica común. En common, la validación de entrada se realiza mediante un enfoque de lista de permitidos, donde el formulario espera cierta entrada y rechaza cualquier cosa que no coincida con la entrada o carga esperada.

Si un formulario no valida una entrada, el sitio net permanece abierto para cargar archivos que pueden desencadenar un comportamiento no deseado en la aplicación net.

El anuncio de Drupal explicó el problema específico:

«La API de formularios centrales de Drupal tiene una vulnerabilidad en la que los formularios de ciertos módulos personalizados o contribuidos pueden ser vulnerables a una validación de entrada incorrecta. Esto podría permitir a un atacante inyectar valores ilegales o sobrescribir datos. Los formularios afectados son raros, pero en ciertos casos un atacante podría alterar datos críticos o confidenciales”.

Núcleo de Drupal: omisión de acceso

La omisión de acceso es una forma de vulnerabilidad en la que puede haber una oportunidad de acceder a una parte del sitio a través de una ruta que no tiene una verificación de management de acceso, lo que en algunos casos da como resultado que un usuario obtenga acceso a niveles para los que no tiene permisos.

El anuncio de Drupal describió la vulnerabilidad:

“Drupal 9.3 implementó una API de acceso a entidades genéricas para revisiones de entidades. Sin embargo, esta API no se integró por completo con los permisos existentes, lo que llevó a una posible omisión de acceso para los usuarios que tienen acceso para usar revisiones de contenido en common, pero no tienen acceso a elementos individuales de nodo y contenido multimedia”.

Se anima a los editores a leer los avisos de seguridad y aplicar las actualizaciones.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) y Drupal alientan a los editores a leer el aviso de seguridad y actualizar a las últimas versiones.

cotizaciones

Lea el boletín oficial de vulnerabilidades de Drupal de CISA

Drupal lanza actualizaciones de seguridad

Lea los dos avisos de seguridad de Drupal

Núcleo de Drupal – Moderadamente crítico – Validación de entrada incorrecta – SA-CORE-2022-008

Núcleo de Drupal – Moderadamente crítico – Omisión de acceso – SA-CORE-2022-009

Artículos relacionados

Dejar respuesta

Please enter your comment!
Please enter your name here

- Anuncio -spot_img

Últimos artículos

3,913SeguidoresSeguir
0suscriptoresSuscribirte