Drupal lanza actualizaciones de Core CMS para parchear varias vulnerabilidades

actualizaciones de seguridad de drupal

Drupal, el popular sistema de administración de contenido de código abierto, ha lanzado actualizaciones de seguridad para abordar múltiples vulnerabilidades «moderadamente críticas» en Drupal Core que podrían permitir que atacantes remotos comprometan la seguridad de cientos de miles de sitios web.

Según los avisos publicados hoy por los desarrolladores de Drupal, todas las vulnerabilidades de seguridad que Drupal parchó este mes residen en bibliotecas de terceros que se incluyen en Drupal 8.6, Drupal 8.5 o anterior y Drupal 7.

Una de las fallas de seguridad es una vulnerabilidad de secuencias de comandos entre sitios (XSS) que reside en un complemento de terceros, llamado JQuery, la biblioteca de JavaScript más popular que utilizan millones de sitios web y que también viene preintegrada en Drupal Core.

La semana pasada, JQuery lanzó su última versión jQuery 3.4.0 para parchear la vulnerabilidad reportada, que aún no ha asignado un número CVE, que afecta a todas las versiones anteriores de la biblioteca hasta esa fecha.

«jQuery 3.4.0 incluye una solución para algunos comportamientos no deseados cuando se usa jQuery.extend (verdadero, {}, …). Si un objeto de origen sin desinfectar contenía una propiedad __proto__ enumerable, podría extender el Object.prototype nativo», el explica el aviso.

«Es posible que esta vulnerabilidad sea explotable con algunos módulos de Drupal».

Las tres vulnerabilidades de seguridad restantes residen en los componentes PHP de Symfony utilizados por Drupal Core que podrían generar secuencias de comandos entre sitios (CVE-2019-10909), ejecución remota de código (CVE-2019-10910) y omisión de autenticación (CVE-2019-1091) ataques

Teniendo en cuenta la popularidad de los exploits de Drupal entre los piratas informáticos, se recomienda encarecidamente que instale la última actualización del CMS lo antes posible:

  • Si está utilizando Drupal 8.6, actualice a Drupal 8.6.15.
  • Si está utilizando Drupal 8.5 o anterior, actualice a Drupal 8.5.15.
  • Si está utilizando Drupal 7, actualice a Drupal 7.66.

Hace casi dos meses, los mantenedores de Drupal parchearon una vulnerabilidad RCE crítica en Drupal Core sin publicar ningún detalle técnico de la falla que podría haber permitido a atacantes remotos piratear el sitio web de sus clientes.

Pero a pesar de eso, el código de explotación de prueba de concepto (PoC) para la vulnerabilidad se puso a disposición del público en Internet solo dos días después de que el equipo lanzara la versión parcheada de su software.

Y luego, varias personas y grupos de piratas informáticos comenzaron a explotar activamente la falla para instalar mineros de criptomonedas en sitios web vulnerables de Drupal que no actualizaron sus CMS a la última versión.

El año pasado, los atacantes también se dirigieron a cientos de miles de sitios web de Drupal en ataques masivos utilizando exploits salvajes que aprovecharon dos vulnerabilidades críticas separadas de ejecución remota de código, que se denominaron Drupalgeddon2 y Drupalgeddon3.

También en ese caso, los ataques comenzaron poco después de que se publicara en Internet el código de explotación de PoC para ambas vulnerabilidades, que luego fue seguido por intentos de explotación y exploración de Internet a gran escala.

Para resumir: corrija sus sitios web antes de que sea demasiado tarde.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática