Detectadas múltiples vulnerabilidades en el core de Drupal

24/12/2019
Se han detectado múltiples vulnerabilidades en el core de drupal que podrían permitir a un atacante, efectuar una denegación del servicio, saltarse las protecciones del archivo .htaccess o conseguir el acceso a elementos multimedia protegidos.

Riesgo: Alto Alto
Sistemas afectados:

Versiones 7.x, 8.8.x, 8.7.x

Descripción:

Se trata de problemas relacionados con:

  • Una vulnerabilidad en la biblioteca de terceros Archive_Tar
  • Falta de restricciones en ciertas configuraciones del módulo multimedia.
  • La función file_save_upload() del núcleo de Drupal 8 no elimina el punto inicial y final ('.') de los nombres de archivo, lo que puede permitir que se suban archivos de sistema.
  • El acceso al archivo install.php puede causar que los datos de la caché se corrompan.

Puedes encontrar el detalle de la alerta en el siguiente enlace.

Solución:

Actualizar a las versiones 7.698.8.1 y 8.7.11

Fuente: Incibe-cert