Fecha de publicación: 29/09/2022
Importancia:
Alta
Recursos afectados:
Las versiones de Drupal correspondientes a los siguientes intervalos:
- desde 8.0.0 hasta la anterior a 9.3.22;
- desde 9.4.0 hasta la anterior a 9.4.7.
Descripción:
Se ha publicado una actualización para corregir una vulnerabilidad que afecta al core de Drupal. El código del core de Drupal que extiende Twig se ha actualizado para mitigar la vulnerabilidad, ya que Drupal utiliza la librerÃa Twig para la sanitización de plantillas de contenido.
Solución:
Se recomienda actualizar Drupal a la última versión disponible. Para ello, puedes acceder a los siguientes enlaces:
- Si utilizas Drupal 9.4, actualiza a Drupal 9.4.7.
- Si utilizas Drupal 9.3, actualiza a Drupal 9.3.22.
Todas las versiones de Drupal 9, anteriores a 9.3.x, están al final de su ciclo de vida y no reciben actualizaciones de seguridad. Drupal 8 ha llegado al final de su vida útil. El core de Drupal 7 no incluye Twig, por lo tanto, no se ve afectado.
Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue esta checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en casos reales:
- ¿Humano o bot? Protege tu web con sistemas captcha
- Celebra el DÃa Mundial de las Contraseñas, la puerta de entrada a todos tus servicios
- Qué es una DMZ y cómo te puede ayudar a proteger tu empresa
- Historias reales: web segura cumpliendo la ley
- 5 razones para hacer copias de seguridad de tu web
Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados:
- PolÃtica de actualizaciones de software
- Minimiza los riesgos de un ataque: ¡actualiza el software!
- Buenas prácticas en el área de informática
- Evalúa los riesgos de tu empresa en tan solo 5 minutos
- Cómo prevenir incidentes en los que intervienen dispositivos móviles
¿Te gustarÃa estar a la última con la información de nuestros avisos? AnÃmate y suscrÃbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de Twitter @ProtegeEmpresa o sÃguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la LÃnea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), y el formulario web.
Detalle:
La actualización corrige múltiples vulnerabilidades que se podrÃan explotar si un atacante obtiene acceso para escribir código en Twig, incluido el acceso de lectura no autorizado a archivos privados, el contenido de otros archivos en el servidor o las credenciales de la base de datos
La vulnerabilidad se ve mitigada por el hecho de que la explotación solo es posible en el core de Drupal con un permiso administrativo de acceso restringido, pero pueden existir opciones de explotación alternativas para la misma vulnerabilidad que permitirÃan a los usuarios escribir plantillas en Twig.
Tu soporte técnico puede consultar una solución más detallada en el área de avisos de INCIBE-CERT.
Etiquetas:
Actualización, CMS, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.