Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

20/03/2015

Detectades múltiples vulnerabilitats en el nucli de Drupal

Drupal informa de dos vulnerabilitats detectades en el seu nucli i que acaben de ser corregides.

Les dos vulnerabilitats detectades permeten:

• Evasió de controls d’accés, per mitjà de la creació d’URL falsos per al restabliment de contrasenyes. D’esta manera, l’atacant aconseguix modificar la contrasenya de l’usuari i obtindre accés al seu compte.
• Realització d’atacs d’enginyeria social per mitjà de vulnerabilitats de readreçament obert. En este cas, el paràmetre que indica a Drupal a quin URL ha de tornar després de realitzar una acció en la pàgina actual pot ser forjat per a readreçar l’usuari a llocs de tercers, cosa que permetria a un atacant realitzar estos atacs.

Les dos fallades s’han detectat i corregit en les branques 6.x i 7.x de la ferramenta.

Sistemes Afectats:

Drupal versions anteriors a la 7.35 i a la 6.35.

Referències:

None

Solució:

Cal actualitzar Drupal a les versions 6.35 i 7.35.

Notes:

DRUPAL-SA-CORE-2015-001
INCIBE
US-CERT

 

CSIRT-CV