Drupal ha lanzado actualizaciones de seguridad, que abordan 5 vulnerabilidades que afectan a diversas versiones de Drupal Core, 1 de ellas ha sido catalogada como crítica y 4 de riesgo medio. La explotación exitosa de estos fallos permitiría a un atacante ejecutar HTML arbitrario, omitir la seguridad u obtener información potencialmente útil para realizar otros ataques al sistema.
Productos Afectados:
Drupal Core en versiones anteriores a la:
- 9.0.6;
- 8.9.6;
- 8.8.10;
- 7.73.
A continuación, se describen brevemente las vulnerabilidades descubiertas:
El CVE-2020-13668 de riesgo crítico, que afecta a las versiones anteriores a 9.0.6, 8.9.6 y 8.8.10, trata de una vulnerabilidad del tipo Cross-site Scripting (XSS) reflejado; y se da debido a una sanitización insuficiente de los datos proporcionados por el usuario. Esta vulnerabilidad podría ser explotada exitosamente por un atacante remoto, engañando a la potencial víctima para que ingrese a un enlace malicioso especialmente diseñado y de tener éxito ejecutar HTML y código script arbitrarios en el contexto del navegador de la víctima.
Vulnerabilidades de riesgo medio:
El CVE-2020-13669, trata de una vulnerabilidad de Cross-site Scripting (XSS) que afecta al módulo CKeditor en versiones anteriores a 9.0.6, 8.9.6 y 8.8.10. Este fallo se da debido a una sanitización insuficiente de los datos proporcionados por el usuario en la funcionalidad de subtítulo de imágenes del módulo.
Mientras que, el CVE-2020-13666, trata de una vulnerabilidad de Cross-site Scripting (XSS) que afecta a la API AJAX de Drupal en versiones anteriores a 9.0.6, 8.9.6, 8.8.10 y 7.73. Este fallo se da debido a que dicha API no deshabilita el JSONP (técnica de Javascript para solicitar datos cargando la etiqueta ) de forma predeterminada.
Estas vulnerabilidades mencionadas anteriormente podrían ser explotadas exitosamente por un atacante remoto, engañando a la potencial víctima para que ingrese a un enlace malicioso especialmente diseñado y de tener éxito ejecutar HTML y código script arbitrarios en el contexto del navegador de la víctima.
Como contrapartida, el CVE-2020-13667 también de riesgo medio, trata de una vulnerabilidad de tipo Access Bypass que afecta al módulo Experimental Workspaces de Drupal en versiones anteriores a 9.0.6, 8.9.6 y 8.8.10. Este fallo se da debido a que el módulo no verifica correctamente los permisos de acceso durante un cambio de Workspace. Un atacante remoto podría explotar exitosamente esta vulnerabilidad y sobrepasar restricciones de seguridad, obteniendo acceso no autorizado a contenido no público.
Finalmente, el CVE-2020-13670, trata de una vulnerabilidad de Divulgación de Información que afecta al módulo de archivos de Drupal en versiones anteriores a 9.0.6, 8.9.6 y 8.8.10. Este fallo se da debido a una restricción de acceso inapropiada dentro del módulo, al desplazar metadatos de un archivo. La explotación exitosa de este fallo permitiría a un atacante remoto acceder a los metadatos de un archivo privado, siempre y cuando éste conozca el ID del archivo.
Recomendaciones:
- Aplicar las actualizaciones de seguridad para Drupal, disponibles en las siguientes versiones:
- Instalar un WAF (Web Application Firewall) que filtre las peticiones HTTP que contengan código malicioso.
Referencias:
- https://www.drupal.org/sa-core-2020-009
- https://www.drupal.org/sa-core-2020-010
- https://www.drupal.org/sa-core-2020-007
- https://www.drupal.org/sa-core-2020-008
- https://www.drupal.org/sa-core-2020-011
- https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidades-el-core-drupal-1
- https://www.cybersecurity-help.cz/vdb/SB2020091701