Drupal ha lanzado actualizaciones de seguridad de emergencia para abordar una vulnerabilidad crítica con explotaciones conocidas que podrían permitir la ejecución arbitraria de código PHP en ciertas versiones del CMS.
“Según el cronograma regular para las ventanas de lanzamiento de seguridad, el 25 de noviembre generalmente no sería una ventana de seguridad principal”, dijo Drupal.
«Sin embargo, esta versión es necesaria porque existen vulnerabilidades conocidas para una de las dependencias del kernel y algunas configuraciones de Drupal son vulnerables».
Actualmente, más de 944.000 sitios web utilizan versiones vulnerables de Drupal de un total de 1.120.941 según estadísticas oficiales. «Estas estadísticas están incompletas; solo los sitios web de Drupal que usan el módulo Actualizar estado están incluidos en los datos», dice Drupal.
Drupal también es utilizado por el 2,5% de todos los sitios web con sistemas de gestión de contenido, lo que lo convierte en el cuarto CMS más popular en Internet, después de WordPress (63,8%), Shopify (5,1%) y Joomla (3,6%).
Actualizaciones de seguridad para todas las versiones afectadas
De acuerdo con el aviso de seguridad de Drupal, la vulnerabilidad es causada por dos errores en la biblioteca PEAR Archive_Tar utilizada por el Sistema de gestión de contenido (CMS) rastreado como CVE-2020-28948 Y CVE-2020-28949.
La vulnerabilidad crítica de ejecución de código de Drupal puede explotarse si el CMS está configurado para permitir y procesar descargas de archivos .tar, .tar.gz, .bz2 o .tlz.
Se han lanzado varias actualizaciones de seguridad de Drupal para corregir el error y permitir a los administradores parchear rápidamente sus servidores para protegerlos de posibles ataques.
Drupal recomienda instalar las siguientes actualizaciones en los servidores afectados:
«Las versiones de Drupal 8 anteriores a 8.8.x están al final de su vida útil y no tienen cobertura de seguridad», dijo el equipo de seguridad de Drupal.
Medidas de mitigación también disponibles
Las medidas de mitigación también están disponibles para los administradores que no pueden actualizar inmediatamente la instalación de Drupal en sus servidores.
Para hacer esto, se recomienda a los administradores del sitio que eviten que los usuarios no confiables descarguen archivos .tar, .tar.gz, .bz2 o .tlz para aliviar el problema temporalmente.
La Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional (CISA, por sus siglas en inglés) también emitió una alerta hoy instando a los administradores y usuarios a actualizar a las versiones parcheadas de Drupal.
La semana pasada, Drupal parchó otra vulnerabilidad crítica de ejecución remota de código rastreada como CVE-2020-13671 y causado por la desinfección inadecuada de los nombres de archivo para los archivos cargados.
“Preste especial atención a las siguientes extensiones de archivo, que deben considerarse peligrosas incluso cuando van seguidas de una o más extensiones adicionales: phar, PHP, pl, py, cgi, asp, js, HTML, htm y phtml”, dijo la empresa.
«Esta lista no es exhaustiva, así que evalúe las preocupaciones de seguridad para otras extensiones no modificadas caso por caso».
