El equipo de seguridad de Drupal solucionó tres vulnerabilidades en el núcleo del popular sistema de administración de contenido, una de las cuales (CVE-2020-13663) podría explotarse para lograr la ejecución remota de código.
Drupal es un sistema de administración de contenido web (CMS) gratuito y de código abierto, y más de un millón de sitios se ejecutan en diferentes versiones del mismo.
La versión estable más reciente es 9.x, lanzada a principios de este mes.
Acerca de las vulnerabilidades parcheadas más recientemente
Se han parcheado tres vulnerabilidades de seguridad con las últimas versiones del núcleo de Drupal (9.0.1):
CVE-2020-13664 es el más crítico, pero solo puede activarse en determinadas circunstancias.
“Un atacante podría engañar a un administrador para que visite un sitio malicioso, lo que podría resultar en la creación de un directorio cuidadosamente nombrado en el sistema de archivos. Con este directorio en su lugar, un atacante podría intentar forzar una vulnerabilidad de ejecución remota de código”, explicó el equipo de seguridad de Drupal, y agregó que es más probable que los servidores de Windows se vean afectados.
CVE-2020-13665 es una falla de omisión de acceso que solo se puede explotar en sitios con read_only establecido en FALSE en la configuración de jsonapi.settings. (De forma predeterminada, JSON:API funciona en modo de solo lectura).
Estos dos defectos afectan a las versiones 8.8.x, 8.9.x y 9.0.x de Drupal. El tercero, CVE-2020-13663, también afecta a Drupal 7.x, la versión de Drupal más utilizada (tanto según Drupal como W3Techs).
CVE-2020-13663 es una vulnerabilidad de secuencias de comandos entre sitios basada en Document Object Model (DOM XSS) descubierta por el investigador de Checkmarx, Dor Tumarkin.
«Este tipo de ataque XSS es factible si una aplicación web ingresa datos en el DOM sin haber sido desinfectados adecuadamente. En este caso, un atacante puede manipular sus datos de entrada para incluir contenido XSS en la página web, por ejemplo, código JavaScript malicioso, que a su vez sería consumido por el propio Drupal Core”, explicó la empresa.
«Un atacante que abusa de esta vulnerabilidad puede asumir la función de administrador de un sitio web basado en Drupal y obtener un control total que puede modificar el contenido, crear enlaces maliciosos, robar datos confidenciales o financieros, o lo que se le ocurra».
¿Que hacer?
Se recomienda a los administradores de sitios basados en Drupal que actualicen a Drupal v7.72, 8.8.8, 8.9.1 o 9.0.1.
Las versiones de Drupal 8 anteriores a 8.8.x están al final de su vida útil y no tienen cobertura de seguridad. Drupal v7.x aún se mantiene y recibe actualizaciones de seguridad, pero llegará al final de su vida útil en noviembre de 2021, por lo que se recomienda a los administradores que lo usen que comiencen a planificar la actualización a una versión más nueva, preferiblemente 9.x.
