Vulnerabilidades

Vulnerabilidad en CMS Drupal

22/07/2022
Drupal liberó un parche de seguridad para mitigar la vulnerabilidad CVE-2022-25277 de severidad crítica, la cual permite a quien ataca la ejecución de código remoto PHP y que afecta al Core de Drupal.

Aunque todavía no se conocen exploits públicos o pruebas de concepto, se recomienda actualizar a las versiones recomendadas por el desarrollador lo antes posible.

Detalles técnicos

Productos AfectadosVersiones
Drupal

  • 9.3.0 hasta 9.3.18

  • 9.4.0 hasta 9.4.2

Esta vulnerabilidad con severidad crítica (CVSS:3.1=9.8), permite a quien ataca la ejecución de código PHP, la misma solo afecta a las instancias de Drupal donde se utiliza Apache como servidor web.

La falla se produce debido a la desinfección incorrecta de ciertos nombres de archivo, lo que podría permitir la carga de archivos con extensión “.htaccess” y de esta manera, saltearse las protecciones incluidas por Drupal. La explotación exitosa de esta vulnerabilidad puede provocar el compromiso total del sistema vulnerable.

Recomendaciones

En vista de la gravedad de la vulnerabilidad, instamos a los administradores a actualizar lo antes posible a las versiones 9.3.19 o 9.4.3 según corresponda. Más información en el siguiente enlace

Cabe destacar que Drupal 7 no se ve afectado, Drupal 8 llegó al final de su ciclo de vida útil (End of Life) por lo que no recibe actualizaciońes de seguridad y las versiones anteriores a 9.3.x están al final de su ciclo de vida.

 

Referencias

Sitio Mitre

Etiquetas

Amenazas y alertas Comunidad Técnica