Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en el núcleo de Drupal

Fecha de publicación: 18/10/2018

Importancia: Crítica

Recursos afectados:

  • Drupal versiones 7.x y 8.x

Descripción:

Drupal ha publicado un boletín de seguridad que contiene 5 vulnerabilidades que podrían derivar en evasión de autorización para accesos específicos, redirecciones a sitios arbitrarios o ejecución remota de código.

Solución:

Dependiendo de la versión desplegada, se deberá actualizar a una de las siguientes versiones: 7.60, 8.6.2 u 8.5.8.

Detalle:

A continuación se detallan las vulnerabilidades que Drupal ha categorizado como Critical según el CMSS de NIST:

  • Inyección en DefaultMailSystem::mail(). Cuando se envía un correo electrónico, algunas variables no son saneadas correctamente. En concreto, podrían contener argumentos usados en línea de comandos. Esta situación podría derivar en la ejecución remota de código por parte de un atacante.
  • Validación de enlaces contextuales. El módulo de estos enlaces no valida suficientemente los solicitados. Esta vulnerabilidad requiere que el atacante tenga un rol con el permiso access contextual links y podría derivar en la ejecución remota de código.

Etiquetas: Actualización, Gestor de contenidos, Vulnerabilidad