Los desarrolladores de Drupal han anunciado el lanzamiento de actualizaciones que abordan múltiples vulnerabilidades en el sistema de gestión de contenido (CMS) de código abierto.
Drupal ha publicado cuatro avisos que describen cuatro tipos de vulnerabilidades. Uno de ellos fue clasificado como «crítico» y los otros tres como «moderadamente críticos». Drupal utiliza el sistema de puntuación de uso indebido común del NIST para puntuar vulnerabilidades, en lugar de CVSS, con errores clasificados como «Menos críticos», «Moderadamente críticos», «Críticos» y «Muy críticos».
La vulnerabilidad «crítica» rastreada como CVE-2022-25277 afecta a Drupal 9.3 y 9.4. El problema afecta al núcleo de Drupal y puede conducir a la ejecución de código PHP arbitrario en servidores internet Apache al cargar archivos especialmente diseñados.
Los desarrolladores de Drupal señalaron que solo los servidores internet Apache se ven afectados y solo con ciertas configuraciones. Aconsejaron a los administradores del sitio internet que revisaran su servidor en busca de posibles signos de compromiso.
Las tres vulnerabilidades «moderadamente críticas» también afectan al núcleo de Drupal. Explotarlos podría dar lugar a ataques de secuencias de comandos entre sitios (XSS), divulgación de información o desvío de acceso.
Los parches para estas vulnerabilidades se incluyen en Drupal 9.4.3 y 9.3.19. El error de divulgación de información también afecta a Drupal 7 y se ha incluido una corrección en la versión 7.91.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) aconsejó a los usuarios de Drupal que lean los avisos e instalen las actualizaciones.
Si bien los sitios internet de Drupal no son tan específicos como los sitios internet de WordPress, varias de las vulnerabilidades encontradas en el CMS en los últimos años han sido explotadas por actores maliciosos, incluso para campañas de spam y para piratear sitios internet y distribuir malware.
Relacionado: Vulnerabilidades de omisión de acceso parcheado y sobrescritura de datos en Drupal
Ver también: Errores de biblioteca de terceros de «alto riesgo» de parches de Drupal
Ver también: Drupal lanza actualizaciones de seguridad fuera de banda debido a la disponibilidad de exploits
Eduard Kovacs (@EduardKovacs) es editor colaborador en SecurityWeek. Trabajó como profesor de TI en la escuela secundaria durante dos años antes de embarcarse en una carrera periodística como reportero de noticias de seguridad en Softpedia. Eduard es licenciado en informática industrial y máster en técnicas informáticas aplicadas a la ingeniería eléctrica.Columnas anteriores de Eduard Kovacs:
etiquetas:
