Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Vulnerabilidad en librerías de terceros en el core de Drupal

Fecha de publicación: 09/05/2019

Importancia: Media

Recursos afectados:

  • Drupal 8.7,
  • Drupal 8.6 y anteriores,
  • Drupal 7.

Descripción:

El equipo de seguridad de Drupal ha detectado una vulnerabilidad de severidad media en dependencias de terceros que se incluyen en el core de Drupal.

Solución:

  • Para Drupal 8.7, actualizar a Drupal 8.7.1;
  • Para Drupal 8.6 o anteriores, actualizar a Drupal 8.6.16
  • Para Drupal 7, actualizar a Drupal 7.67.

Las versiones de Drupal 8, anteriores a 8.6.x, están en fase end-of-life y no reciben actualizaciones de seguridad.

Detalle:

  • El paquete PharStreamWrapper, de TYPO3, está afectado por una vulnerabilidad de salto de directorio, que podría permitir a un atacante eludir el mecanismo de protección contra deserialización. Se ha asignado el identificador CVE-2019-11831 para esta vulnerabilidad.

Etiquetas: Actualización, CMS, Vulnerabilidad