Drupal aborda 2 vulnerabilidades críticas y una de bajo riesgo en su última actualización de seguridad

Recientemente Drupal ha abordado un total de 3 vulnerabilidades que afectan al núcleo de sus diferentes versiones, dos de ellas han sido catalogadas como críticas y 1 de riesgo bajo. Para estos fallos han sido reservados los siguientes identificadores: CVE-2020-13663, CVE-2020-13664 y CVE-2020-13665.

Las versiones afectadas de Drupal, son:

• anterior a 9.0.1;
• anterior a 8.9.1;
• anterior a 8.8.8;
• anterior a 7.72.

El fallo identificado como CVE-2020-13663 y catalogado como crítico, se da en la Form API del núcleo de Drupal, y es debido a que este maneja de forma errónea la entrada de datos de las solicitudes cross-site, derivando en una vulnerabilidad Cross-Site Request Forgery (CSRF). La explotación exitosa de esta vulnerabilidad podría permitir a un atacante tomar control del sitio web en el contexto del usuario víctima, modificar o eliminar elementos, entre otros ataques.

Por otro lado el fallo identificado como CVE-2020-13664 y catalogado como crítico, se trata de una vulnerabilidad de ejecución de código PHP arbitrario en Drupal 8 y 9. Sabiendo esto, un atacante podría engañar a un administrador para que ingrese a una sitio web malicioso, así crear un directorio en el sistema de archivos y con este directorio, realizar una ejecución remota de código. Los servidores Windows son más propensos a verse afectados por esta vulnerabilidad.

Por último el fallo identificado como CVE-2020-13665 y catalogado como de bajo riesgo, se da en la especificación JSON:API y es debido a que algunas solicitudes podrían omitir las validaciones en ciertos campos. Esta especificación funciona en modo read-only por defecto, haciendo imposible explotación de esta vulnerabilidad. Sin embargo, los sitios que cuenten con el atributo read_only asignado con false en el archivo jsonapi.settings son vulnerables. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante omitir las validaciones y obtener acceso al sitio.

Recomendaciones:

• Descargar e instalar las nuevas versiones de Drupal, desde su página web oficial a las siguientes versiones:
  • 7.72,
  • 8.8.8,
  • 8.9.1 o
  • 9.0.1
• Verificar que el atributo read_only esté asignado con true en el archivo jsonapi.settings.
• Instalar un WAF (Web Application Firewall) que filtre las peticiones HTTP que contengan código malicioso.
• Si usa Drupal, revisar periódicamente los avisos de seguridad desde el sitio web oficial.

Referencias:

• https://www.drupal.org/sa-core-2020-004
• https://www.drupal.org/sa-core-2020-005
• https://www.drupal.org/sa-core-2020-006
• https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidades-el-core-drupal-0