Cabecera-v2-web.jpg

Vulnerabilidades crí­ticas en los CMS Liferay y Drupal


Se ha reportado múltiples vulnerabilidades crí­ticas que afectan a dos CMS (Content Management Systems) populares: Drupal y Liferay. Las versiones afectadas de Drupal son las previas a 7.44 (para la rama 7.x) y previas a 8.1.3 (para la rama 8.x). Las versiones afectadas de Liferay son la 6.2 CE GA6 y 7.0 CE GA1.

En el caso de Drupal, se han reportado dos vulnerabilidades, clasificadas como moderadamente crí­ticas. La primera de ellas afecta al módulo de usuarios de Drupal 7 debido a que al guardar bajo determinadas condiciones se pueden asignar a un usuario todos los roles del sitio, lo que podrí­a permitir a un usuario conseguir permisos administrativos. Esta vulnerabilidad se encuentra mitigada por el hecho de que requiere código personalizado que fuerce al formulario de registro a reconstruirse al vuelo durante el enví­o del formulario de perfil de usuario.

La segunda vulnerabilidad, menos crí­tica, afecta al módulo de Vistas de Drupal 7 y 8 que podrí­a permitir a usuarios sin autorización visualizar información del módulo de estadí­sticas. En Drupal 7 no afecta al Core, pero si se usa el modulo Vistas de Drupal 7.x, se debe actualizar este módulo a la versión Views 7.x-3.14.

En el caso de Liferay, se han publicado múltiples vulnerabilidades crí­ticas que afectan a las versiones 6.2 CE GA6 y 7.0 CE GA1 del gestor de contenidos.

Las vulnerabilidades más crí­ticas que afectan a la versión 6.2 son las siguientes:

  • Ejecución de código remoto y escalado de privilegios en las plantillas Velocity y FreeMarker
  • La autenticación mediante digest no respeta la polí­tica de contraseñas, permitiendo múltiples intentos de acceso fallidos sin bloquearlos.
  • La función de autocompletar del navegador recuerda la respuesta del usuario al recordatorio de la contraseña.
  • Vulnerabilidad de redirección abierta, que puede permitir a un atacante redirigir usuarios a un sitio diferente con algunos nombres de dominio especialmente construidos.
  • Vulnerabilidad de Java Deserialization en los componentes TunnelServlet y Spring-Remoting services.
  • XSS (Cross-Site Scripting) y problemas con permisos en la versión 6.2.5.

Las vulnerabilidades más crí­ticas que afectan a la versión 7 son las siguientes:

  • Todos los usuarios son administradores (Powe User) por defecto, con lo que el usuario puede crear páginas maliciosas u ofensivas.
  • Los tokens CSRF se mantienen en la base de datos, lo que puede facilitar a un atacante el lanzamiento de ataques CSRF.
  • Vulnerabilidad de redirección abierta en la autenticación mediante Facebook, lo que podrí­a permitir a un atacante redirigir a otro sitio al usuario.
  • Recursos WAB restringidos accesibles
  • XSS (Cross-Site Scripting) y problemas con permisos en la versión 7.0.0.

Se han observado exploits funcionales publicados en Internet, que permiten a cualquier atacante explotar fácilmente estas vulnerabilidades.

En el caso de Drupal, un atacante podrí­a obtener información sensible. Además, en caso de tratarse de un sitio web que cuenta con un formulario de registro personalizado, el atacante podrí­a obtener el control total del servidor que aloja la aplicación.

En el caso de Liferay, un atacante que explotara exitosamente una o varias vulnerabilidades mencionadas, podrí­a obtener el control total del servidor que aloja la aplicación de Liferay vulnerable.

Se recomienda actualizar los sitios afectados de inmediato.

En el caso de Drupal, puede descargar la última versión de los siguientes enlaces:

Para instrucciones de actualización especí­ficas de acuerdo a su rama, puede revisar el siguiente artí­culo: https://www.drupal.org/upgrade

En el caso de Liferay, la solución dependerá de la versión:

  • Para la versión 6.2: Existen dos parches (aquí­ y aquí­) de los que sólo se debe aplicar uno de ellos, indistintamente.
  • Para la versión 7.0: se debe actualizar a Liferay Portal 7.0 CE GA2 (7.0.1)

Para instrucciones de actualización especí­ficas, puede revisar los siguientes artí­culos:
https://dev.liferay.com/discover/deployment/-/know...
https://dev.liferay.com/discover/deployment/-/know...


Mas información: https://cert.gov.py/application/files/8314/6643...



pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11