Se descubre otra falla crítica en Drupal: ¡actualice su sitio lo antes posible!

hackear vulnerabilidad drupal

Los desarrolladores de Drupal, un popular software de sistema de administración de contenido de código abierto que impulsa millones de sitios web, lanzaron la última versión de su software para reparar una vulnerabilidad crítica que podría permitir a atacantes remotos piratear su sitio.

La actualización se produjo dos días después de que el equipo de seguridad de Drupal publicara una notificación de seguridad anticipada de los próximos parches, lo que brinda a los administradores de sitios web avisos tempranos para reparar sus sitios web antes de que los piratas informáticos abusen de la laguna.

La vulnerabilidad en cuestión es una falla crítica de ejecución remota de código (RCE) en Drupal Core que podría «conducir a la ejecución arbitraria de código PHP en algunos casos», dijo el equipo de seguridad de Drupal.

Si bien el equipo de Drupal no ha publicado ningún detalle técnico de la vulnerabilidad (CVE-2019-6340), mencionó que la falla se debe al hecho de que algunos tipos de campo no desinfectan adecuadamente los datos de fuentes que no son formularios y afectan a Drupal 7 y 8 Núcleo.

También debe tenerse en cuenta que su sitio web basado en Drupal solo se ve afectado si el módulo RESTful Web Services (rest) está habilitado y permite solicitudes PATCH o POST, o si tiene habilitado otro módulo de servicios web.

Si no puede instalar inmediatamente la última actualización, puede mitigar la vulnerabilidad simplemente deshabilitando todos los módulos de servicios web o configurando su (s) servidor (es) web para que no permitan solicitudes PUT / PATCH / POST a los recursos de servicios web.

«Tenga en cuenta que los recursos de los servicios web pueden estar disponibles en varias rutas según la configuración de su (s) servidor (es)», advierte Drupal en su aviso de seguridad publicado el miércoles.

«Para Drupal 7, los recursos suelen estar disponibles, por ejemplo, a través de rutas (URL limpias) y mediante argumentos para el argumento de consulta» q «. Para Drupal 8, las rutas aún pueden funcionar cuando tienen el prefijo index.php /».

Sin embargo, teniendo en cuenta la popularidad de los exploits de Drupal entre los piratas informáticos, se recomienda encarecidamente que instale la última actualización:

  • Si está utilizando Drupal 8.6.x, actualice su sitio web a Drupal 8.6.10.
  • Si está utilizando Drupal 8.5.x o anterior, actualice su sitio web a Drupal 8.5.11

Drupal también dijo que el módulo de Servicios de Drupal 7 en sí mismo no requiere una actualización en este momento, pero los usuarios aún deberían considerar aplicar otras actualizaciones asociadas con el aviso más reciente si los «Servicios» están en uso.

Drupal le ha dado crédito a Samuel Mortenson de su equipo de seguridad para descubrir y reportar la vulnerabilidad.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática