El equipo de seguridad de Drupal ha publicado un aviso «moderadamente crítico» para resaltar vulnerabilidades graves en una biblioteca de terceros, advirtiendo que los piratas informáticos pueden explotar las fallas para secuestrar de forma remota sitios net con tecnología de Drupal.
Las vulnerabilidades, rastreadas como CVE-2022-31042 y CVE-2022-31043, se encontraron y corrigieron en Guzzle, una biblioteca de terceros que Drupal usa para manejar solicitudes HTTP y respuestas a servicios externos.
«Estos no afectan el núcleo de Drupal, pero pueden afectar algunos proyectos contribuidos o código personalizado en los sitios de Drupal», cube un aviso de Drupal.
«Estamos emitiendo este aviso de seguridad fuera de nuestro horario recurring de autorización de seguridad, ya que Guzzle ya ha publicado información sobre las vulnerabilidades y las vulnerabilidades pueden existir en módulos contribuidos o módulos personalizados que usan Guzzle para solicitudes salientes», agregó.
Guzzle ha clasificado estas vulnerabilidades como de alto riesgo y Drupal advierte que los errores podrían afectar algunos proyectos contribuidos o código personalizado en los sitios de Drupal.
«La explotación de esta vulnerabilidad podría permitir que un atacante remoto tome el management de un sitio net afectado», advirtió el equipo.
Guzzle emitió avisos independientes que documentan las fallas como la falla al eliminar el encabezado de la cookie en el cambio de host o la degradación de HTTP y la falla al eliminar el encabezado de autorización en la degradación de HTTP.
El equipo de seguridad recomienda a sus usuarios instalar las últimas versiones (Drupal 9.2 a Drupal 9.4). Es importante tener en cuenta que todas las versiones de Drupal 9 anteriores a la 9.2.x ya no están disponibles y no recibirán una cobertura de seguridad.
Ver también: Alerta del gobierno de EE. UU.: VPN, falla del producto del perímetro de purple bajo ataque constante
Ver también: Drupal lanza actualizaciones de seguridad fuera de banda
Relacionado: Vulnerabilidades de omisión de acceso parcheado y sobrescritura de datos en Drupal
Ryan Naraine es editor basic de SecurityWeek y presentador de la common serie de podcasts Safety Conversations. Ryan es un estratega experimentado en seguridad cibernética que ha creado programas de seguridad para las principales marcas mundiales, incluidas Intel Corp., Bishop Fox y Kaspersky GReAT. Es cofundador de Threatpost y de la serie de conferencias globales de SAS. La carrera anterior de Ryan como periodista de seguridad ha incluido artículos en importantes publicaciones de tecnología, como Ziff Davis eWEEK, ZDNet de CBS Interactive, PCMag y PC World. Ryan es director de la organización sin fines de lucro Safety Tinkerers, consultor de jóvenes empresarios y orador recurring en conferencias de seguridad en todo el mundo.
Siga a Ryan en Twitter @ryanaraine.Columnas anteriores de Ryan Naraine:
etiquetas:
