Global Preloader
Vulnerabilidad
(17/Mar/2017) Diversas vulnerabilidades parcheadas en Drupal 8

Diversas vulnerabilidades parcheadas en Drupal 8

Varias vulnerabilidades han sido parcheadas en el sistema de gestión de contenido de Drupal (CMS) con la versión 8.2.7, incluyendo el bypass de acceso, la falsificación de solicitudes de sitios cruzados (CSRF) y las fallas de ejecución remota de código.

El más grave de ellos, considerado crítico y rastreado como CVE-2017-6377, es una debilidad de desvío de acceso que afecta al módulo editor.

El defecto CSRF, identificado como CVE-2017-6379 y clasificado como moderadamente crítico, puede explotarse para desactivar algunos bloques en un sitio web, pero el atacante necesita conocer el ID del bloque dirigido. El agujero de seguridad es causado por la falta de protección CSRF en algunas rutas administrativas.

La vulnerabilidad de ejecución remota de código, CVE-2017-6381, que también ha sido clasificada como moderadamente crítica, afecta a una biblioteca de desarrollo de terceros. La falla, relacionada con las dependencias de desarrollo, se mitiga por el hecho de que las dependencias de Composer no se instalan típicamente y por la protección de ejecución PHP por defecto en .htaccess.

Drupal 8.2.7 incluye una actualización de seguridad para las dependencias de desarrollo de phpunit. Esta versión asegura que el núcleo de Drupal requiere la versión más segura de phpunit disponible. No se recomienda utilizar dependencias de desarrollo en la producción.

Drupal también anunció esta semana que ha encontrado una manera de facilitar a los usuarios la actualización del CMS, incluso de una versión principal a la siguiente (por ejemplo, desde Drupal 8 al futuro Drupal 9).

Mientras que Drupal no está tan dirigido como WordPress o Joomla, las empresas de seguridad han visto ataques dirigidos a sitios web impulsados ​​por este CMS. En su último informe de sitio web hackeado, Sucuri dijo que muchos de los sitios web de Drupal comprometidos el año pasado habían estado ejecutando versiones obsoletas.

En septiembre, el Centro de Tormentas de Internet del Instituto SANS informó haber visto intentos de explotar una vulnerabilidad altamente crítica que había sido reparada dos meses antes.