Drupal ha publicado un aviso de seguridad con cuatro vulnerabilidades críticas calificadas de moderadas a críticas. Las vulnerabilidades afectan a las versiones 9.3 y 9.4 de Drupal.
El aviso de seguridad advierte que varias vulnerabilidades podrían permitir que un pirata informático ejecute código arbitrario, poniendo en riesgo un sitio web y un servidor.
Estas vulnerabilidades no afectan a la versión 7 de Drupal.
Además, todas las versiones de Drupal anteriores a la 9.3.x han llegado al final de su ciclo de vida, lo que significa que ya no reciben actualizaciones de seguridad, lo que hace que su uso sea riesgoso.
Vulnerabilidad crítica: ejecución arbitraria de código PHP
Una vulnerabilidad de ejecución de código PHP arbitrario es que un atacante puede ejecutar comandos arbitrarios en un servidor.
La vulnerabilidad se produjo de forma no intencionada porque dos funciones de seguridad que debían bloquear la carga de archivos malintencionados fallaron porque no funcionaban bien juntas, lo que dio lugar a la vulnerabilidad crítica actual que puede conducir a la ejecución remota de código.
“… las protecciones para estas dos vulnerabilidades anteriormente no funcionaban correctamente juntas.
Como resultado, si el sitio estuviera configurado para permitir la carga de archivos .htaccess, los nombres de archivo de estos archivos no se desinfectarían adecuadamente.
Esto podría permitir eludir las protecciones proporcionadas por los archivos .htaccess predeterminados del núcleo de Drupal y la posible ejecución remota de código en los servidores web Apache».
Una ejecución remota de código ocurre cuando un atacante puede ejecutar un archivo malicioso y apoderarse de un sitio web o de un servidor completo. En este caso particular, el atacante puede atacar el propio servidor web mientras ejecuta el software del servidor web Apache.
Apache es un software de servidor web de código abierto en el que se ejecuta todo lo demás, como PHP y WordPress. Es esencialmente la parte del software del propio servidor.
Acceso para eludir vulnerabilidad
Esta vulnerabilidad, clasificada como moderadamente crítica, permite a un atacante modificar datos a los que no debería tener acceso.
Según el aviso de seguridad:
«Bajo ciertas circunstancias, Drupal Forms Core API evalúa el acceso a los elementos del formulario incorrectamente.
… No se sabe que ningún módulo provisto por el núcleo de Drupal sea vulnerable. Sin embargo, los módulos agregados a través de módulos o temas personalizados o contribuidos pueden verse afectados».
Múltiples vulnerabilidades
Drupal ha publicado un total de cuatro avisos de seguridad:
Este aviso advierte sobre múltiples vulnerabilidades que afectan a Drupal y que pueden exponer un sitio a varios tipos de ataques y resultados.
Estos son algunos de los posibles problemas:
- Ejecución arbitraria de código PHP
- Guión entre sitios
- Galletas filtradas
- Acceso para eludir vulnerabilidad
- Acceso no autorizado a los datos
- Vulnerabilidad de divulgación de información
Actualización de Drupal recomendada
El aviso de seguridad de Drupal aconseja actualizar 9.3 y 9.4 inmediatamente.
Los usuarios de la versión 9.3 de Drupal deben actualizar a la versión 9.3.19.
Los usuarios de la versión 9.4 de Drupal deben actualizar a la versión 9.4.3.
Citación
Advertencias básicas de seguridad de Drupal
Core Drupal – Critical – Ejecución arbitraria de código PHP
Imagen cortesía de Shutterstock/solarseven
Fuente: searchenginejournal
Hashtags: #Drupal #advierte #múltiples #vulnerabilidades #críticas
Comentarios recientes