Cabecera-v2-web.jpg

Vulnerabilidad crí­tica en Drupal


drupal.png

El equipo de seguridad de Drupal ha publicado una actualización de seguridad considerada crí­tica para solucionar una vulnerabilidad de bypass de control de acceso a que afecta a todas las versiones de Drupal de la rama 8, identificada como CVE-2017-6919.

Esta vulnerabilidad es explotable en aquellos sitios que cumplan las siguientes condiciones:

  • Tienen habilitado el módulo RESTful Web Services (rest)
  • Permite solicitudes PATCH
  • Permite registro de usuarios y/o se compromete una cuenta de usuario

La rama Drupal 7.x no está afectada por esta vulnerabilidad.

Para corregir esta vulnerabilidad, Drupal ha publicado una actualización en la versión 8.3.1 y 8.2.8. Debido a la criticidad de esta vulnerabilidad, Drupal ha publicado un parche incluso para aquellas versiones afectadas que ya no tienen soporte.

Explotando esta vulnerabilidad un atacante remoto no autorizado podrí­a obtener un control total del servidor que aloja la aplicación de Drupal vulnerable.

Drupal ha publicado una actualización, Drupal 8.3.1 la cual corrige las vulnerabilidades. También ha publicado una actualización 8.2.8 para aquellos sitios que no habí­an actualizado a 8.3, sin embargo, se recomienda, luego de aplicar el parche, actualizar a ésta, ya que 8.2.x se encuentra ya sin soporte.

Se recomienda actualizar los sitios afectados de inmediato. La nueva versión puede ser obtenida aquí­:



Fuente: hispasec.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11