Detectadas múltiples vulnerabilidades en el núcleo de Drupal
Drupal informa de dos vulnerabilidades detectadas en su núcleo y que acaban de ser corregidas.
Riesgo: Alto
Las dos vulnerabilidades detectadas permiten:
- Evasión de controles de acceso, mediante la creación de URL falsas para el restablecimiento de contraseñas. De este modo el atacante consigue modificar la contraseña del usuario y obtener acceso a su cuenta.
- Realización de ataques de ingeniería social mediante vulnerabilidades de redirección abierta. En este caso, el parámetro que indica a Drupal a que URL debe volver tras realizar una acción en la página actual puede ser forjado para redirigir al usuario a sitios de terceros, lo que permitiría a un atacante realizar este tipo de ataques.
Ambos fallos se han detectado y corregido en las ramas 6.x y 7.x de la herramienta.
Sistemas Afectados: Drupal versiones anteriores a la 7.35 y la 6.35.
Referencias: None
Solución:Actualizar Drupal a las versiones 6.35 y 7.35.
Notas: DRUPAL-SA-CORE-2015-001
INCIBE
US-CERT