Drupal emitió 2 anuncios de seguridad que avisan sobre una puerta de inseguridad que perjudica a múltiples ediciones de Drupal y que podría dejar que un agresor acceda a información confidencial.

Hay 2 inseguridades que afectan en la actualidad a Drupal. Una está clasificada como una puerta de inseguridad crítica de alta gravedad.

Inseguridades en la biblioteca de otros

Drupal emplea un motor de modelado de otros llamado Twig.

Según la documentación de Drupal:

«En el momento en que se trata su página, el motor Twig toma la plantilla y la transforma en una plantilla PHP ‘compilada’ que se guarda en un directorio protegido…»

Drupal usa la biblioteca Twig para la creación de modelos, pero asimismo para un desarrollo llamado sanitización, que es una manera de eludir que se carguen ficheros maliciosos.

Twig detalla las inseguridades como aquellas que dejan a un agresor utilizar el cargador del sistema de ficheros para entrar a ficheros privados.

Drupal advierte:

«Son probables múltiples inseguridades si un usuario que no es de seguridad tiene ingreso para redactar código Twig, incluyendo el ingreso de lectura probablemente no autorizado a ficheros privados, contenidos
otros ficheros en el servidor o las credenciales de la banco de información».

Esta puerta de inseguridad perjudica a los individuos de Drupal 9.3 y 9.4.

Curso de acción sugerido para atenuar la puerta de inseguridad

Se aconseja a los individuos de Drupal 9.3 que actualicen a la versión 9.3.22.

Se aconseja a los clientes de Drupal 9.4 que actualicen a la versión 9.4.7.

Puerta de inseguridad moderada

Drupal asimismo notificó una puerta de inseguridad de omisión de ingreso de calificación moderada, que perjudica a los editores que usan el módulo del sistema de ficheros S3 para Drupal 7.x.

Una puerta de inseguridad de omisión de ingreso es aquella donde un agresor puede eludir las barreras de autenticación y conseguir ingreso a una app y ficheros privados que no debería.
en caso contrario, pueden entrar a.

La puerta de inseguridad se detalla de la próxima forma:

«El módulo no impide bastante el ingreso a ficheros en múltiples esquemas de sistemas de ficheros guardados en exactamente el mismo depósito».

El aviso apunta que esta puerta de inseguridad se atenúa a través de múltiples pasos que se tienen que efectuar antes que un agresor logre conseguir ingreso.

El aviso enseña:

«Esta puerta de inseguridad se ve mitigada por visto que un agresor debe conseguir un procedimiento para entrar a sendas de ficheros arbitrarias, el lugar debe tener habilitada la restauración pública o privada, y la memoria caché de metadatos del fichero debe ignorarse».

Curso de acción sugerido

Se aconseja a los individuos de Drupal que usan el módulo S3 Archivo System para Drupal 7.x que actualicen a S3 Archivo System 7.x-2.14 para corregir la puerta de inseguridad.


mencionado

Núcleo de Drupal – Crítico – Múltiples inseguridades – SA-CORE-2022-016

Sistema de ficheros S3 – Equilibradamente crítico – Omisión de ingreso – SA-CONTRIB-2022-057

Versión de seguridad de Twig: aptitud de cargar una plantilla fuera de un directorio configurado en el momento en que se utiliza el cargador del sistema de ficheros

Imagen cortesía de Shutterstock / Andrey_Popov

Fuente: searchenginejournal

Hashtags: #Drupal #advierte #una #puerta de inseguridad #crítica #alta #gravedad