Drupal, el cuarto CMS más popular detrás de los sitios web en la actualidad, ha lanzado soluciones de emergencia para algunas fallas críticas. La explotación de estas vulnerabilidades permite ataques de ejecución de código. Drupal ha confirmado la existencia de exploits conocidos.
Defectos de ejecución de código Drupal
Aparentemente, Drupal reveló dos fallas de seguridad graves, a través de un aviso reciente, que podrían permitir ataques de ejecución de código.
Como se explicó, dos fallas de ejecución de código PHP arbitrario de gravedad crítica afectaron a las diferentes versiones del CMS. Estos incluyen CVE-2020-28948 y CVE-2020-28948.
Al describir el problema en el aviso, Drupal dijo:
El proyecto Drupal utiliza la biblioteca PEAR Archive_Tar. La biblioteca PEAR Archive_Tar lanzó una actualización de seguridad que afecta a Drupal… Varias vulnerabilidades son posibles si Drupal está configurado para permitir descargas de archivos .tar, .tar.gz, .bz2 o .tlz y los procesa.
El error primero llamó la atención de Luke Stewart, a quien Drupal acreditó en el aviso.
En cuanto a los parches, Drupal ha lanzado parches para esta vulnerabilidad a excepción de las versiones de Drupal 8 anteriores a la 8.8.x. Esto se debe a que estas versiones han llegado al final de su vida útil.
Mientras que para otras versiones, las respectivas actualizaciones están disponibles con Drupal 9.0.9, 8.9.10, 8.8.12 y 7.75. Por lo tanto, los usuarios de Drupal 9, 8.9, 8.8 y 7 pueden actualizar a las versiones parcheadas correspondientes del CMS.
Estas actualizaciones son aún más importantes ya que Drupal ha confirmado la existencia de exploits conocidos para «una de las dependencias del kernel».
Considerando que, para situaciones en las que la actualización no es posible, Drupal recomienda bloquear las descargas de archivos .tar, .tar.gz, .bz2 o .tlz por parte de usuarios que no son de confianza.
CISA instó a la actualización inmediata
Drupal, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), también ha emitido una alerta sobre las actualizaciones de Drupal. Como se indica en el aviso,
Drupal ha lanzado actualizaciones de seguridad para corregir vulnerabilidades en Drupal 7, 8.8 y versiones anteriores, 8.9 y 9.0. Un atacante podría aprovechar esta vulnerabilidad para tomar el control de un sistema afectado.
Recientemente, Drupal también corrigió una vulnerabilidad crítica de ejecución remota de código (CVE-2020-13671). Y ahora, después de una semana, han publicado las correcciones de emergencia para los dos errores que requieren la atención inmediata de los usuarios.
¡Asegúrese de que su sitio web no sea vulnerable y contrate una empresa de pruebas de penetración hoy!
