Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
19/10/2018
Múltiples vulnerabilidades en el núcleo de Drupal
Se han detectado nuevas vulnerabilidades en el núcleo de Drupal para versiones 7.X y 8.XRiesgo: Crítico
Drupal ha hecho publico en su boletín de seguridad cinco nuevas vulnerabilidades que permitirían poder evadir los controles de acceso, la redirección a sitios arbitrarios y la ejecución remota de código.
Las listamos a continuación pero pueden verse en detalle aquí.
- Content moderation - Moderately critical - Access bypass - Drupal 8
- External URL injection through URL aliases - Moderately Critical - Open Redirect - Drupal 7 and Drupal 8
- Anonymous Open Redirect - Moderately Critical - Open Redirect - Drupal 8 RedirectResponseSubscriber event handler removal
- Injection in DefaultMailSystem::mail() - Critical - Remote Code Execution - Drupal 7 and Drupal 8
- Contextual Links validation - Critical - Remote Code Execution - Drupal 8
Más información disponible aquí.
Sistemas Afectados:Drupal versiones 7.X y 8.X
Referencias:None
Solución:Actualizar a la versión más reciente disponible:
Actualizar a la versión 7.60 en caso de tener la versión 7.X
Actualizar a la versión 8.6.2 en caso de tener la versión 8.6.X
Actualizar a la versión 8.5.8 en caso de tener la versión 8.5.X o anteriores
Fuente: Incibe-cert