Detectades múltiples vulnerabilitats en el nucli de Drupal
Drupal informa de dos vulnerabilitats detectades en el seu nucli i que acaben de ser corregides.
Risc: Alt
Les dos vulnerabilitats detectades permeten:
- Evasió de controls d’accés, per mitjà de la creació d’URL falsos per al restabliment de contrasenyes. D’esta manera, l’atacant aconseguix modificar la contrasenya de l’usuari i obtindre accés al seu compte.
- Realització d’atacs d’enginyeria social per mitjà de vulnerabilitats de readreçament obert. En este cas, el paràmetre que indica a Drupal a quin URL ha de tornar després de realitzar una acció en la pàgina actual pot ser forjat per a readreçar l’usuari a llocs de tercers, cosa que permetria a un atacant realitzar estos atacs.
Les dos fallades s’han detectat i corregit en les branques 6.x i 7.x de la ferramenta.
Sistemes Afectats: Drupal versions anteriors a la 7.35 i a la 6.35.
Referències: None
Solució:Cal actualitzar Drupal a les versions 6.35 i 7.35.
Notes: DRUPAL-SA-CORE-2015-001
INCIBE
US-CERT