El equipo de desarrollo de Drupal ha publicado actualizaciones de seguridad para abordar varios problemas, incluida una falla crítica en la ejecución del código.
Los desarrolladores de Drupal han lanzado actualizaciones de seguridad para corregir varias vulnerabilidades en el popular CMS:
La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) ha emitido un aviso para las vulnerabilidades anteriores.
El más grave, clasificado como «crítico», es una ejecución de código PHP arbitrario rastreado como CVE-2022-25277.
«Drupal Core limpia los nombres de archivo con extensiones peligrosas durante la descarga (referencia: SA-CORE-2020-012) y elimina los puntos de inicio y final de los nombres de archivo para evitar la descarga de archivos de configuración del servidor (referencia: SA-CORE-2019-010).» lee la reseña. “Sin embargo, las protecciones contra estas dos vulnerabilidades no funcionaron correctamente juntas antes. Por lo tanto, si el sitio se configuró para permitir la carga de archivos con una extensión htaccess, los nombres de archivo de esos archivos no se filtrarían correctamente. Esto podría eludir las protecciones proporcionadas por los archivos .htaccess del núcleo de Drupal predeterminados y la posible ejecución remota de código en los servidores web Apache.
Para mitigar el problema, es obligatorio que el administrador del campo configure explícitamente un campo de archivo para permitir htaccess como una extensión (un permiso restringido) o un módulo contribuido o código personalizado que anula las cargas de archivos permitidos. La vulnerabilidad afecta a las versiones 9.4 y 9.3, el aviso establece que el problema solo afecta a los servidores web Apache con configuraciones específicas.
Las otras tres vulnerabilidades han sido clasificadas como «moderadamente críticas», lo que podría conducir a ataques de secuencias de comandos en sitios cruzados (XSS), divulgación de información o desvío de acceso.
Todos los problemas afectan a las versiones 9.4 y 9.3, pero la vulnerabilidad de divulgación de información también afecta a la versión 7.
Sigueme en Twitter: @asuntosdeseguridad y Facebook
Pierluigi Paganini
(Casos de seguridad – Sistema de gestión de contenido, falla crítica de ejecución de código)
Compartir en
