Cabecera-v2-web.jpg

Vulnerabilidades de riesgo crítico y medio en Drupal


Drupal ha lanzado actualizaciones de seguridad, que abordan 5 vulnerabilidades que afectan a diversas versiones de Drupal Core, 1 de ellas ha sido catalogada como crítica y 4 de riesgo medio. La explotación exitosa de estos fallos permitiría a un atacante ejecutar HTML arbitrario, omitir la seguridad u obtener información potencialmente útil para realizar otros ataques al sistema.

Productos Afectados:

Drupal Core en versiones anteriores a la:

  • 9.0.6;
  • 8.9.6;
  • 8.8.10;
  • 7.73.

A continuación, se describen brevemente las vulnerabilidades descubiertas:

El CVE-2020-13668 de riesgo crítico, que afecta a las versiones anteriores a 9.0.6, 8.9.6 y 8.8.10, trata de una vulnerabilidad del tipo Cross-site Scripting (XSS) reflejado; y se da debido a una sanitización insuficiente de los datos proporcionados por el usuario. Esta vulnerabilidad podría ser explotada exitosamente por un atacante remoto, engañando a la potencial víctima para que ingrese a un enlace malicioso especialmente diseñado y de tener éxito ejecutar HTML y código script arbitrarios en el contexto del navegador de la víctima.

Vulnerabilidades de riesgo medio:

El CVE-2020-13669, trata de una vulnerabilidad de Cross-site Scripting (XSS) que afecta al módulo CKeditor en versiones anteriores a 9.0.6, 8.9.6 y 8.8.10. Este fallo se da debido a una sanitización insuficiente de los datos proporcionados por el usuario en la funcionalidad de subtítulo de imágenes del módulo.

Mientras que, el CVE-2020-13666, trata de una vulnerabilidad de Cross-site Scripting (XSS) que afecta a la API AJAX de Drupal en versiones anteriores a 9.0.6, 8.9.6, 8.8.10 y 7.73. Este fallo se da debido a que dicha API no deshabilita el JSONP (técnica de Javascript para solicitar datos cargando la etiqueta ) de forma predeterminada.

Estas vulnerabilidades mencionadas anteriormente podrían ser explotadas exitosamente por un atacante remoto, engañando a la potencial víctima para que ingrese a un enlace malicioso especialmente diseñado y de tener éxito ejecutar HTML y código script arbitrarios en el contexto del navegador de la víctima.

Como contrapartida, el CVE-2020-13667 también de riesgo medio, trata de una vulnerabilidad de tipo Access Bypass que afecta al módulo Experimental Workspaces de Drupal en versiones anteriores a 9.0.6, 8.9.6 y 8.8.10. Este fallo se da debido a que el módulo no verifica correctamente los permisos de acceso durante un cambio de Workspace. Un atacante remoto podría explotar exitosamente esta vulnerabilidad y sobrepasar restricciones de seguridad, obteniendo acceso no autorizado a contenido no público.

Finalmente, el CVE-2020-13670, trata de una vulnerabilidad de Divulgación de Información que afecta al módulo de archivos de Drupal en versiones anteriores a 9.0.6, 8.9.6 y 8.8.10. Este fallo se da debido a una restricción de acceso inapropiada dentro del módulo, al desplazar metadatos de un archivo. La explotación exitosa de este fallo permitiría a un atacante remoto acceder a los metadatos de un archivo privado, siempre y cuando éste conozca el ID del archivo.

Recomendaciones:

  • Aplicar las actualizaciones de seguridad para Drupal, disponibles en las siguientes versiones:
    • 9.0.6,
    • 8.9.6,
    • 8.8.10 o
    • 7.73.
    • Las versiones de Drupal 8.7.x y anteriores ya no reciben actualizaciones de seguridad, por ello, se recomienda actualizar a la versión 8.8.10.
  • Instalar un WAF (Web Application Firewall) que filtre las peticiones HTTP que contengan código malicioso.
Referencias:
pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11