Múltiples vulnerabilidades en Drupal  

21/07/2022 Noticias 0

Se ha publicado 4 vulnerabilidades que afectan a Drupal 7 y 9, que permitirían a un atacante la ejecución remota de código (RCE), divulgación de información, ataques cross-site scripting (XSS), entre otros. 

Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Crítica” y 3 (tres) de severidad “Alta”. Las mismas se detallan a continuación: 

  • CVE-2022-25277, de severidad “Crítica” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla en el núcleo de Drupal, que permite la carga de archivos con una extensión .htaccess. Esto permitiría a un atacante la ejecución remota de código (RCE) en el sistema afectado. 
  • CVE-2022-25275, de severidad “Alta” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla en el módulo que controla el acceso a los archivos de imagen. Un atacante podría realizar divulgación de información del sistema afectado. 

Page Break 

  • CVE-2022-25278, de severidad “Alta” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla en la API del formulario principal de Drupal. Un atacante podría alterar los datos sin tener privilegios de administración (root)
  • CVE-2022-25276, de severidad “Alta” y sin puntuación asignada aún. Esta vulnerabilidad se debe a un error en la ruta de iframe de Media oEmbed. Un atacante podría realizar ejecución remota de código (RCE) en el sistema afectado. 

Los productos afectados de Drupal son: 

  • Drupal core 9.4 al 9.4.2. 
  • Drupal core 9.3 al 9.3.18. 
  • Drupal core 7 al 7.90. 
  • Todas las versiones de Drupal 9 anteriores a 9.3.x. 

Recomendamos actualizar a las versiones core 9.4.3, 9.3.19 o 7.91 respectivamente, a través de los siguientes enlaces: 

Referencias: 

Compartir: