Cabecera-v2-web.jpg

Vulnerabilidad detectada en librería de Drupal Core


23/03/2022

Drupal ha publicado actualizaciones de seguridad que subsanan una vulnerabilidad que afecta a la librería de Drupal Core, que permitiría a un atacante enviar inputs en las cabeceras HTTP sin ser validados.

La vulnerabilidad CVE-2022-24775 de severidad alta, con una puntuación asignada de 7.5. Esta se debe a la incorrecta validación de entrada en el paquete guzzle http/psr7, que permitiría a un atacante posicionarse en un carácter de nueva línea y pasar valores no confiables, logrando así enviar inputs en las cabeceras HTTP sin ser validados.

Drupal utiliza la biblioteca Guzzle de terceros para manejar solicitudes HTTP y respuestas a servicios externos.

Las versiones de Drupal afectadas son:

  • Drupal versión 9.3.
  • Drupal versión 9.2.

Recomendamos instalar las actualizaciones correspondientes según su distribución, mediante los siguientes enlaces:

Para Drupal 9.3, actualice a Drupal 9.3.9:

Para Drupal 9.2, actualice a Drupal 9.2.16:

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11