Se descubre otra falla crítica en Drupal: ¡actualice su sitio lo antes posible!

Noticias 7 de abril de 2022

hackear vulnerabilidad drupal

Los desarrolladores de Drupal, un popular software de sistema de administración de contenido de código abierto que impulsa millones de sitios web, lanzaron la última versión de su software para reparar una vulnerabilidad crítica que podría permitir a atacantes remotos piratear su sitio.

La actualización se produjo dos días después de que el equipo de seguridad de Drupal publicara una notificación de seguridad anticipada de los próximos parches, lo que brinda a los administradores de sitios web avisos tempranos para reparar sus sitios web antes de que los piratas informáticos abusen de la laguna.

La vulnerabilidad en cuestión es una falla crítica de ejecución remota de código (RCE) en Drupal Core que podría «conducir a la ejecución arbitraria de código PHP en algunos casos», dijo el equipo de seguridad de Drupal.

Si bien el equipo de Drupal no ha publicado ningún detalle técnico de la vulnerabilidad (CVE-2019-6340), mencionó que la falla se debe al hecho de que algunos tipos de campo no desinfectan adecuadamente los datos de fuentes que no son formularios y afectan a Drupal 7 y 8 Núcleo.

También debe tenerse en cuenta que su sitio web basado en Drupal solo se ve afectado si el módulo RESTful Web Services (rest) está habilitado y permite solicitudes PATCH o POST, o si tiene habilitado otro módulo de servicios web.

Si no puede instalar inmediatamente la última actualización, puede mitigar la vulnerabilidad simplemente deshabilitando todos los módulos de servicios web o configurando su (s) servidor (es) web para que no permitan solicitudes PUT / PATCH / POST a los recursos de servicios web.

«Tenga en cuenta que los recursos de los servicios web pueden estar disponibles en varias rutas según la configuración de su (s) servidor (es)», advierte Drupal en su aviso de seguridad publicado el miércoles.

«Para Drupal 7, los recursos suelen estar disponibles, por ejemplo, a través de rutas (URL limpias) y mediante argumentos para el argumento de consulta» q «. Para Drupal 8, las rutas aún pueden funcionar cuando tienen el prefijo index.php /».

Sin embargo, teniendo en cuenta la popularidad de los exploits de Drupal entre los piratas informáticos, se recomienda encarecidamente que instale la última actualización:

  • Si está utilizando Drupal 8.6.x, actualice su sitio web a Drupal 8.6.10.
  • Si está utilizando Drupal 8.5.x o anterior, actualice su sitio web a Drupal 8.5.11

Drupal también dijo que el módulo de Servicios de Drupal 7 en sí mismo no requiere una actualización en este momento, pero los usuarios aún deberían considerar aplicar otras actualizaciones asociadas con el aviso más reciente si los «Servicios» están en uso.

Drupal le ha dado crédito a Samuel Mortenson de su equipo de seguridad para descubrir y reportar la vulnerabilidad.

Continua leyendo

La policía investiga un ‘incidente cibernético’ en el grupo médico de Guernsey

El ransomware GandCrab y el virus Ursnif se propagan a través de macros de MS Word

Investigadores lanzan herramienta que encuentra robots vulnerables en Internet

Nuevo exploit amenaza a más de 9000 enrutadores Cisco RV320 / RV325 hackeables en todo el mundo

El nuevo error de FaceTime permite que las personas que llaman lo escuchen y lo vean sin que usted responda

La policía cerró xDedic: un mercado en línea para los ciberdelincuentes

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática

Thanks, I’m not interested