Drupal ha emitido un aviso de seguridad para cuatro vulnerabilidades críticas calificadas de moderadamente críticas a críticas. Las vulnerabilidades afectan a las versiones 9.3 y 9.4 de Drupal.
El aviso de seguridad advirtió que las diversas vulnerabilidades podrían permitir que un hacker ejecute código arbitrario, poniendo en riesgo un sitio y un servidor.
Una de las vulnerabilidades se refiere a Drupal versión 7 además de 9.3 y 9.4 (vulnerabilidad de divulgación de información CVE-2022-25275).
Además, todas las versiones de Drupal anteriores a la 9.3.x han llegado al final de su ciclo de vida, lo que significa que ya no reciben actualizaciones de seguridad, lo que hace que su uso sea riesgoso.
Vulnerabilidad crítica: ejecución arbitraria de código PHP
Una vulnerabilidad de ejecución de código PHP arbitrario es una vulnerabilidad en la que un atacante puede ejecutar comandos arbitrarios en un servidor.
La vulnerabilidad surgió involuntariamente debido a dos características de seguridad que supuestamente bloquearían las descargas de archivos peligrosos, pero fallaron porque no funcionaron bien juntas, lo que resultó en la vulnerabilidad crítica actual que puede conducir a la ejecución remota de código.
Según Drupal:
“…las protecciones contra estas dos vulnerabilidades no funcionaron correctamente juntas antes.
Por lo tanto, si el sitio se configuró para permitir la carga de archivos con una extensión htaccess, los nombres de archivo de esos archivos no se filtrarían correctamente.
Esto podría eludir las protecciones proporcionadas por los archivos .htaccess del núcleo de Drupal predeterminados y la posible ejecución remota de código en los servidores web Apache.
Una ejecución remota de código ocurre cuando un atacante puede ejecutar un archivo malicioso y tomar el control de un sitio web o de todo el servidor. En este caso particular, el atacante puede atacar el propio servidor web mientras ejecuta el software del servidor web Apache.
Apache es un software de servidor web de código abierto en el que se ejecuta todo lo demás, como PHP y WordPress. Es básicamente la parte del software del propio servidor.
Vulnerabilidad de omisión de acceso
Esta vulnerabilidad, clasificada como moderadamente crítica, permite a un atacante modificar datos a los que se supone que no debe tener acceso.
Según el aviso de seguridad:
«Bajo ciertas circunstancias, la API de formulario principal de Drupal evalúa incorrectamente el acceso a los elementos del formulario.
…Ningún formulario proporcionado por el núcleo de Drupal es vulnerable. Sin embargo, los formularios agregados a través de módulos o temas contribuidos o personalizados pueden verse afectados.
Múltiples vulnerabilidades
Drupal ha publicado un total de cuatro avisos de seguridad:
Este aviso advierte sobre múltiples vulnerabilidades que afectan a Drupal y que pueden exponer un sitio a diferentes tipos de ataques y resultados.
Estos son algunos de los posibles problemas:
- Ejecución arbitraria de código PHP
- Secuencias de comandos entre sitios
- Cookies filtradas
- Vulnerabilidad de omisión de acceso
- Acceso no autorizado a los datos
- Vulnerabilidad de divulgación de información
Actualización de Drupal recomendada
El aviso de seguridad de Drupal recomendó actualizar a 9.3 y 9.4 de inmediato.
Los usuarios de Drupal versión 9.3 deben actualizar a 9.3.19.
Los usuarios de Drupal versión 9.4 deben actualizar a 9.4.3.
Cotizar
Aviso de seguridad del núcleo de Drupal
Drupal Core – Revisión – Ejecución de código PHP arbitrario
Imagen destacada de Shutterstock/solarseven
