Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

24/12/2019

Detectadas múltiples vulnerabilidades en el core de Drupal

Se han detectado múltiples vulnerabilidades en el core de drupal que podrían permitir a un atacante, efectuar una denegación del servicio, saltarse las protecciones del archivo .htaccess o conseguir el acceso a elementos multimedia protegidos.

Se trata de problemas relacionados con:

• Una vulnerabilidad en la biblioteca de terceros Archive_Tar
  
• Falta de restricciones en ciertas configuraciones del módulo multimedia.
• La función file_save_upload() del núcleo de Drupal 8 no elimina el punto inicial y final ('.') de los nombres de archivo, lo que puede permitir que se suban archivos de sistema.
  
• El acceso al archivo install.php puede causar que los datos de la caché se corrompan.

Puedes encontrar el detalle de la alerta en el siguiente enlace.

Sistemas Afectados:

Versiones 7.x, 8.8.x, 8.7.x

Referencias:

None

Solución:

Actualizar a las versiones 7.69, 8.8.1 y 8.7.11

Notas:

Drupal core - Moderately critical - Denial of Service - SA-CORE-2019-009
Drupal core - Moderately critical - Multiple vulnerabilities - SA-CORE-2019-010
Drupal core - Moderately critical - Access bypass - SA-CORE-2019-011
Drupal core - Critical - Multiple vulnerabilities - SA-CORE-2019-012

 

CSIRT-CV