Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Vulnerabilidad de ejecución remota de código en el core de Drupal

Fecha de publicación: 21/02/2019

Importancia: Crítica

Recursos afectados:

  • Módulos contribuidos de Drupal 7.x
  • Drupal 8.x

Descripción:

El equipo de seguridad de Drupal ha detectado una vulnerabilidad de severidad crítica en el core, que podría permitir a un atacante remoto comprometer un sitio web basado en Drupal.

Solución:

Drupal recomienda actualizar en función de la versión que se disponga.

Versiones de Drupal 8 anteriores a 8.5.x son end-of-life y no recibirán cobertura de seguridad.

Detalle:

  • Esta vulnerabilidad permite que algunos tipos de campo no validen correctamente los datos de fuentes que no son formularios, lo que puede llevar a la ejecución arbitraria de código PHP en algunos casos. Se ha reservado el identificador CVE-2019-6340 para esta vulnerabilidad.

Etiquetas: Actualización, Gestor de contenidos, Vulnerabilidad