El equipo de Drupal CMS ha lanzado una actualización de seguridad para abordar una vulnerabilidad de omisión de acceso de gravedad crítica en el componente central de CMS que podría permitir a los atacantes tomar el control de los sitios afectados.
Según el aviso de seguridad, solo se ven afectados un conjunto limitado de sitios web que se ejecutan en Drupal CMS, ya que el problema de seguridad solo afecta a la versión de Drupal 8.7.4, con Drupal 8.7.3 y anteriores, Drupal 8.6.x y anteriores y Drupal 7. .x no se ven afectados.
“En Drupal 8.7.4, cuando el módulo de espacios de trabajo experimentales está habilitado, se crea una condición de omisión de acceso”, explica el equipo de Drupal.
Drupal 8.7.5 corrige vulnerabilidad de omisión de acceso
Drupal 8.7.5 se lanzó hoy para corregir el error de omisión de acceso identificado como CVE-2019-6342, lo que permite a los administradores parchear rápidamente sus servidores para protegerlos de posibles ataques.
Más importante aún, de acuerdo con el equipo de desarrollo de Drupal, la corrección SOLO se aplicará a los sitios web afectados donde se esté ejecutando update.php; este es un paso manual requerido cuando se actualiza a Drupal 8.7.5.
Para los sitios con el módulo Workspaces habilitado, se debe ejecutar update.php para garantizar que se borre el caché requerido. Si hay un caché de proxy inverso o una red de entrega de contenido (por ejemplo, Varnish, CloudFlare), también es recomendable borrarlos. – El equipo Drupal
La actualización a la versión 8.7.5 es muy importante dado que los atacantes podrían aprovechar la vulnerabilidad visitando una URL y no se requiere ningún nivel de registro o autenticación para abusar de los sitios web afectados.
Afortunadamente, aún no está disponible un exploit para esta vulnerabilidad, sin embargo, en caso de que se desarrolle uno, la mayoría de los sitios que se ejecutan en Drupal 8.7.4 estarán expuestos a ataques ya que «las configuraciones de módulo predeterminadas o comunes son utilizables».
Medidas de mitigación disponibles
Las medidas de mitigación también están disponibles para los administradores que no pueden actualizar inmediatamente la instalación de Drupal en sus servidores, la forma más fácil de hacerlo es deshabilitar el módulo Workspaces para los sitios afectados.
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional también emitió una alerta instando a los administradores y usuarios de Drupal a actualizar a la versión parcheada de Drupal 8.7.5.
Actualmente, aproximadamente 290 958 sitios web utilizan Drupal 8.x de un total de 1 093 220 según las cifras oficiales disponibles en la página «Estadísticas de uso del núcleo de Drupal».
Sitios web que usan Drupal
«Estas estadísticas están incompletas; solo los sitios web de Drupal que usan el módulo Actualizar estado se incluyen en los datos. Este módulo se incluye con la descarga de Drupal desde la versión 6.x, por lo que los datos no incluyen sitios más antiguos», agrega Drupal.
Además, Drupal es utilizado por el 1,8 % de todos los sitios web con sistemas de administración de contenido (CMS) rastreados por W3Techs, lo que lo convierte en el tercer CMS más popular en Internet, después de WordPress (34,2 %) y Joomla (2,8 %).
