7.3 C
Madrid
viernes, febrero 23, 2024
spot_img

Ejecución de código y otras vulnerabilidades corregidas en Drupal

Los desarrolladores de Drupal han anunciado el lanzamiento de actualizaciones que corrigen varias vulnerabilidades del sistema de gestión de contenido (CMS) de código abierto.

Drupal ha publicado cuatro avisos que describen cuatro tipos de vulnerabilidades. Uno de ellos fue calificado como “crítico” y los otros tres como “moderadamente críticos”. Drupal utiliza el sistema de puntuación de uso indebido común del NIST para calificar las vulnerabilidades, en lugar de CVSS, y las fallas se clasifican como «menos críticas», «moderadamente críticas», «críticas» y «muy críticas».

La vulnerabilidad «crítica», identificada como CVE-2022-25277, afecta a Drupal 9.3 y 9.4. El problema afecta al núcleo de Drupal y puede provocar la ejecución de código PHP arbitrario en servidores web Apache mediante la descarga de archivos especialmente diseñados.

Los desarrolladores de Drupal señalaron que solo los servidores web Apache se ven afectados y solo con configuraciones específicas. Aconsejaron a los administradores del sitio web que revisaran su servidor en busca de posibles signos de compromiso.

Las tres vulnerabilidades de seguridad «moderadamente críticas» también afectan el núcleo de Drupal. Explotarlos puede dar lugar a ataques de secuencias de comandos en sitios cruzados (XSS), divulgación de información o desvíos de acceso.

Las correcciones para estas vulnerabilidades se incluyen en Drupal 9.4.3 y 9.3.19. La falla de divulgación de información también afecta a Drupal 7 y se incluyó una solución en la versión 7.91.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) ha aconsejado a los usuarios de Drupal que consulten los avisos e instalen actualizaciones.

Aunque los sitios web de Drupal no son tan específicos como los sitios de WordPress, varias de las vulnerabilidades encontradas en el CMS en los últimos años han sido explotadas por actores maliciosos, incluso para campañas de spam y para piratear sitios web y propagar malware.

Relacionado: Omisión de acceso, vulnerabilidades de sobrescritura de datos parcheadas en Drupal

Relacionado: Drupal corrige fallas de bibliotecas de terceros de «alto riesgo»

Relacionado: Drupal lanza actualizaciones de seguridad fuera de banda debido a la disponibilidad de exploits

Artículos relacionados

Dejar respuesta

Please enter your comment!
Please enter your name here

- Anuncio -spot_img

Últimos artículos

3,913SeguidoresSeguir
0suscriptoresSuscribirte