Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a core de Drupal, que permitiría a un atacante realizar escalamiento de privilegios en el sistema afectado.
La vulnerabilidad identificada sin CVE asignado, de severidad “Crítica” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en las páginas web con el módulo JSON:API habilitado dentro del core de Drupal. Esto permitiría a un atacante a través de una configuración especialmente diseñada, realizar escalamiento de privilegios a través de ataques del tipo cache poisoning en el sistema afectado.
Las versiones afectadas son:
- Drupal, versión 10.1 y anteriores a 10.1.4.
- Drupal, versión 10.0 y anteriores a 10.0.11.
- Drupal, versión 8.7.0 y anteriores a 9.5.11.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en los siguientes enlaces:
Referencias:
- https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-de-escalada-de-privilegios-en-el-core-de-drupal
- https://www.drupal.org/sa-core-2023-006
- https://www.drupal.org/project/drupal/releases/10.1.4
- https://www.drupal.org/project/drupal/releases/10.0.11
- https://www.drupal.org/project/drupal/releases/9.5.11