Cabecera-v2-web.jpg

Múltiples vulnerabilidades en Drupal


El equipo de seguridad de Drupal ha publicado actualizaciones para solucionar varias vulnerabilidades, algunas de ellas crí­ticas, que afectan a distintos módulos del core de Drupal. Las versiones afectadas por esta vulnerabilidad son 6.x, 7.x y 8.x


Detalles de las vulnerabilidades:

  • Módulo File. Drupal 7 y 8. Acceso no autorizado a ficheros y denegación de servicio. (Grave): Un atacante podrí­a manipular el enlace a ficheros en el formulario de subida y bloquear el proceso.
  • Servidor XML y RPC. Drupal 6 y 7. Amplificación de ataques de fuerza bruta ví­a XML-RPC. (Grave): El sistema XML-RPC permite un elevado número de peticiones que puede utilizarse para ataques de fuerza bruta
  • Redirección abierta por manipulación de ruta. Sistema base. Drupal 6, 7 y 8. (Grave): A través de manipulación de la ruta puede redirigirse la navegación a una URL externa.
  • Fallo en restricciones de acceso en la API Form. API Form. Drupal 6 (Crí­tica): La restricción de acceso a ciertos elementos restringidos puede evadirse, como por ejemplo el acceso ví­a JavaScript a botones de formulario bloqueados.
  • Inyección de cabeceras HTTP. Sistema base. Drupal 6 (Grave): Una vulnerabilidad en la función drupal_set_header() posibilita ataques de inyección de cabeceras HTTP.
  • Redirección abierta a través del parámetro 'destination'. Sistema base. Drupal 6, 7 y 8. (Grave): La función drupal_goto() descodifica incorrectamente el contenido del parámetro $_REQUEST['destination'] previo a su uso, lo que permite realizar la redirección a una URL arbitraria.
  • Vulnerabilidad de descarga de ficheros (reflected file download vulnerability). Módulo System. Drupal 6 y 7. (Grave): Una vulnerabilidad en el core de Drupal permitirí­a a un atacante lograr que un usuario descargue y ejecute un fichero con un contenido arbitrario en JSON.
  • Vulnerabilidad en función para guardar cuentas. Módulo User. Drupal 6 y 7. (Moderada): Un atacante podrí­a asignarse todos los roles debido un comportamiento distinto al esperado de la función user_save() cuando es referenciada por un código especí­fico diferente al utilizado por el core de Drupal.
  • Fuga de información. Módulo User. Drupal 7 y 8. (Moderada): Direcciones de correo electrónico pueden ser usadas en lugar de nombre de usuario en formularios de acceso lo que permite averiguar la asociación nombre de usuario con dirección de correo e inferir identidades.
  • Truncamiento y manipulación de datos de sesión. Sistema Base. Drupal 6. (Moderada): Bajo ciertas versiones de PHP, los datos de sesión de usuario pueden ser manipulados y posiblemente provocar ejecución de código de forma remota.


Se recomienda una actualización inmediata desde el sitio oficial de Drupal

  • Si utiliza Drupal 6.x, actualice a Drupal core 6.38
  • Si utiliza Drupal 7.x, actualice a Drupal core 7.43
  • Si utiliza Drupal 8.0.x, actualice a Drupal core 8.0.4


Fuente: drupal.org/SA-CORE-2016-001


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11