Se ha publicado 4 vulnerabilidades que afectan a Drupal 7 y 9, que permitirían a un atacante la ejecución remota de código (RCE), divulgación de información, ataques cross-site scripting (XSS), entre otros.
Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Crítica” y 3 (tres) de severidad “Alta”. Las mismas se detallan a continuación:
- CVE-2022-25277, de severidad “Crítica” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla en el núcleo de Drupal, que permite la carga de archivos con una extensión .htaccess. Esto permitiría a un atacante la ejecución remota de código (RCE) en el sistema afectado.
- CVE-2022-25275, de severidad “Alta” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla en el módulo que controla el acceso a los archivos de imagen. Un atacante podría realizar divulgación de información del sistema afectado.
Page Break
- CVE-2022-25278, de severidad “Alta” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla en la API del formulario principal de Drupal. Un atacante podría alterar los datos sin tener privilegios de administración (root).
- CVE-2022-25276, de severidad “Alta” y sin puntuación asignada aún. Esta vulnerabilidad se debe a un error en la ruta de iframe de Media oEmbed. Un atacante podría realizar ejecución remota de código (RCE) en el sistema afectado.
Los productos afectados de Drupal son:
- Drupal core 9.4 al 9.4.2.
- Drupal core 9.3 al 9.3.18.
- Drupal core 7 al 7.90.
- Todas las versiones de Drupal 9 anteriores a 9.3.x.
Recomendamos actualizar a las versiones core 9.4.3, 9.3.19 o 7.91 respectivamente, a través de los siguientes enlaces:
- https://www.drupal.org/project/drupal/releases/9.4.3
- https://www.drupal.org/project/drupal/releases/9.3.19
- https://www.drupal.org/project/drupal/releases/7.91
Referencias:
- https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-el-core-drupal-7-y-9
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25277
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25275
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25278
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25276
- https://www.drupal.org/project/drupal/releases/9.4.3
- https://www.drupal.org/project/drupal/releases/9.3.19
- https://www.drupal.org/project/drupal/releases/7.91