El equipo de seguridad de Drupal emitió un aviso «moderadamente crítico» para llamar la atención sobre vulnerabilidades graves en una biblioteca de terceros y advirtió que los piratas informáticos pueden aprovechar los errores para secuestrar sitios web con Drupal de forma remota.
Las vulnerabilidades, identificadas como CVE-2022-31042 y CVE-2022-31043, se encontraron y repararon en Guzzle, una biblioteca de terceros que Drupal usa para manejar solicitudes HTTP y respuestas a servicios externos.
“Estos no afectan el núcleo de Drupal, pero pueden afectar ciertos proyectos contribuidos o código personalizado en los sitios de Drupal”, según un aviso de Drupal.
«Estamos publicando este aviso de seguridad fuera de nuestro calendario habitual de publicación de seguridad, porque Guzzle ya ha publicado información sobre vulnerabilidades, y pueden existir vulnerabilidades en módulos contribuidos o módulos personalizados que usan Guzzle para solicitudes salientes», añadió.
Guzzle ha clasificado estas vulnerabilidades como de alto riesgo y Drupal advierte que los errores pueden afectar ciertos proyectos contribuidos o código personalizado en los sitios de Drupal.
“La explotación de esta vulnerabilidad podría permitir que un atacante remoto tome el control de un sitio web afectado”, advirtió el equipo.
Guzzle ha publicado revisiones independientes que documentan errores como la imposibilidad de eliminar el encabezado de la cookie al cambiar de host o degradar HTTP y la imposibilidad de eliminar el encabezado de autorización cuando se degrada HTTP.
El equipo de seguridad recomienda a sus usuarios instalar las últimas versiones (Drupal 9.2 a Drupal 9.4). Es importante tener en cuenta que todas las versiones de Drupal 9 anteriores a la 9.2.x están al final de su vida útil y no tienen cobertura de seguridad.
Relacionado: Advertencia del gobierno de EE. UU.: VPN, fallas de productos perimetrales de red bajo ataque constante
Relacionado: Drupal lanza actualizaciones de seguridad fuera de banda
Relacionado: Omisión de acceso, vulnerabilidades de sobrescritura de datos parcheadas en Drupal
Ryan Naraine es editor de SecurityWeek y presentador de la popular serie de podcasts Security Conversations. Ryan es un estratega de seguridad cibernética experimentado que ha implementado programas de compromiso de seguridad para las principales marcas globales, incluidas Intel Corp., Bishop Fox y GReAT. Es cofundador de Threatpost y SAS Global Conference Series. La carrera anterior de Ryan como periodista de seguridad incluyó artículos en las principales publicaciones de tecnología, incluidas Ziff Davis eWEEK, ZDNet de CBS Interactive, PCMag y PC World. Ryan es director de la organización sin fines de lucro Security Tinkerers, asesor de nuevos empresarios y orador habitual en conferencias de seguridad en todo el mundo.
Siga a Ryan en Twitter @ryanaraine.Columnas anteriores de Ryan Naraine:
Palabras clave:
