Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

21/02/2019

Vulnerabilidad en Drupal

Se ha identificado una vulnerabilidad crítica en Drupal que permite la ejecución de código remoto en el core.

Se ha detectado una vulnerabilidad crítica en el core de Drupal que permitiría a un atacante ejecutar código remoto al no sanear correctamente los datos de fuentes que no son formulario .

La vulnerabilidad afectada a aquellas web con las siguientes características:
- El sitio tiene habilitado el módulo del servicio de RESTful  de Drupal core 8
- El sitio tiene habilitado otro módulo de servicio web, como es JSON:API en Drupal 8 o Servicios, o servicios o el servicio web RESTful en Drupal 7.

Sistemas Afectados:

• Módulos de Drupal 7.x
• Drupal 8.x

Referencias:

CVE-2019-6340

Solución:

Drupal recomienda actualizar en función de la versión que se disponga.

• Versión de Drupal 8.6.x, actualizar a Drupal 8.6.10.
• Versión de Drupal 8.5.x o anteriores, actualizar a Drupal 8.5.11.
• Instalar las actualizaciones de seguridad disponibles para los proyectos contribuidos después de actualizar el núcleo de Drupal.
• Actualizar los módulos aportado para Drupal 7

Las versiones anteriores a 8.5.x de Drupal 8 no recibirán cobertura de seguridad.

Notas:

https://www.drupal.org/sa-core-2019-003

CSIRT-CV