Ir al contenido

Ir a la página principal

Agesic-Agencia de Gobierno Electrónico y Sociedad de la Información Presidencia de la República Oriental del Urguay
InicioNovedadesAlertas y vulnerabilidadesVulnerabilidad de Drupal permite ejecución remota de código
7/15/16

Vulnerabilidad de Drupal permite ejecución remota de código

El 13 de julio de 2016 Drupal publicó actualizaciones de seguridad para corregir tres vulnerabilidades en diferentes módulos (Webform Multiple File Upload, Coder y RESTWS), que permiten a un atacante la ejecución remota de código. Se insta a quienes utilicen alguno de estos módulos, en las versiones 7.x, a actualizar a la versión recomendada por el fabricante para cada caso.

Las tres vulnerabilidades encontradas, permiten la ejecución remota de código por parte de un atacante. Mediante este mecanismo, un atacante, puede ejecutar instrucciones de código de forma remota, con fines maliciosos, permitiendo un control total del sistema vulnerado. A continuación se describen las vulnerabilidades encontradas:

Vulnerabilidad SA-CONTRIB-2016-038 en Módulo Webform Multiple File Upload

Este módulo permite al usuario cargar múltiples archivos en un formulario web; la entrada a este formulario es procesada y dependiendo de las librerías utilizadas, puede permitir la ejecución arbitraria de código.

Vulnerabilidad SA-CONTRIB-2016-039 en Módulo Coder

Con el módulo Coder es posible chequear el código fuente contra estándares y buenas prácticas predefinidas. Este módulo no validaba la entrada de manera exhaustiva en scripts con extensión PHP, por lo que un usuario malicioso podría hacer solicitudes de ejecución arbitraria de código desde un script PHP, sin estar autenticado. El módulo no necesariamente tiene que estar habilitado para que esta vulnerabilidad sea explotada. Solo se debe encontrar dentro del sistema de archivos y estar accesible desde la web.

Vulnerabilidad SA-CONTRIB-2016-040 en Módulo RESTWS

El módulo RESTWS permite exponer entidades de Drupal como servicios web RESTful; además, para agregar funcionalidades extras, permite alterar la respuesta de la página por defecto, dependiendo de la solicitud realizada. La vulnerabilidad encontrada permite a un atacante la ejecución de código arbitrario PHP mediante el envío de solicitudes especialmente diseñadas.

Sistemas afectados

Módulos Webform Multiple File Upload, Coder y RESTWS de Drupal en versiones 7.x.

Tipo de impacto:

Ejecución remota de código.

Solución:

Vulnerabilidad SA-CONTRIB-2016-038 en Módulo Webform Múltiple File Upload

Más información:
[1] Acceder a Coder - Remote Code Execution en el sitio de Drupal
[2] Acceder a RESTWS en el sitio de Drupal
[3] Acceder a Webform Multiple File Upload en el sitio de Drupal