Facebook Instagram Linkedin

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

MĂșltiples vulnerabilidades en el core de Drupal 7 y 9

In Noticias y Avisos CiberseguridadPosted

Fecha de publicaciĂłn: 21/07/2022

Importancia:
Alta

Recursos afectados:

  • Versiones Drupal core 9.4 anteriores a 9.4.3;
  • versiones Drupal core 9.3 anteriores a 9.3.19;
  • versiones Drupal core 7 anteriores a 7.91.
  • todas las versiones de Drupal 9 anteriores a 9.3.x, junto con Drupal 8, estĂĄn al final de su vida Ăștil (EOL) y no reciben cobertura de seguridad.

DescripciĂłn:

Se han publicado 3 vulnerabilidades de severidad media y 1 alta en los cores de drupal 7 y 9 que podrĂ­an permitir a un atacante la ejecuciĂłn de cĂłdigo PHP arbitrario, divulgaciĂłn de informaciĂłn, omisiĂłn de acceso, realizar ataques cross-site scripting o el filtrado de cookies.

SoluciĂłn:

Actualizar a Drupal core 9.4.3, 9.3.19 o 7.91, segĂșn la versiĂłn afectada.

Detalle:

  • El nĂșcleo de Drupal sanea los nombres de archivo con extensiones peligrosas al subirlos y elimina los puntos iniciales y finales de los nombres de archivo, para evitar que se suban archivos de configuraciĂłn del servidor. Sin embargo, estas protecciones no funcionaban correctamente juntas, por lo que si el sitio estaba configurado para permitir la carga de archivos con una extensiĂłn htaccess, los nombres de estos archivos no eran saneados correctamente. Esto podrĂ­a permitir a un atacante eludir las protecciones proporcionadas por los archivos .htaccess por defecto del nĂșcleo de Drupal y la ejecuciĂłn remota de cĂłdigo en servidores web Apache. Se ha asignado el identificador CVE-2022-25277 para esta vulnerabilidad alta que afecta al core de Drupal 9.
  • En algunas situaciones, el mĂłdulo ‘imagen’ no comprueba correctamente el acceso a los archivos de imagen no almacenados en el directorio de archivos pĂșblicos estĂĄndar cuando se generan imĂĄgenes derivadas utilizando el sistema de estilos de imagen, lo que podrĂ­a permitir la divulgaciĂłn de informaciĂłn. Se ha asignado el identificador CVE-2022-25275 para esta vulnerabilidad media que afecta al core de Drupal 7 y 9.

Para el resto de vulnerabilidades de severidad media, que afectan al core de Drupal 9, se han asignado los identificadores CVE-2022-25278 y CVE-2022-25276.

Encuesta valoraciĂłn

Etiquetas:
ActualizaciĂłn, CMS, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.