Si tu web usa Drupal, actualiza para evitar estas vulnerabilidades

Fecha de publicación: 29/09/2022

Importancia:
Alta

Recursos afectados:

Las versiones de Drupal correspondientes a los siguientes intervalos:

  • desde 8.0.0 hasta la anterior a 9.3.22;
  • desde 9.4.0 hasta la anterior a 9.4.7.

Descripción:

Se ha publicado una actualización para corregir una vulnerabilidad que afecta al core de Drupal. El código del core de Drupal que extiende Twig se ha actualizado para mitigar la vulnerabilidad, ya que Drupal utiliza la librería Twig para la sanitización de plantillas de contenido.

Solución:

Se recomienda actualizar Drupal a la última versión disponible. Para ello, puedes acceder a los siguientes enlaces:

  • Si utilizas Drupal 9.4, actualiza a Drupal 9.4.7.
  • Si utilizas Drupal 9.3, actualiza a Drupal 9.3.22.

Todas las versiones de Drupal 9, anteriores a 9.3.x, están al final de su ciclo de vida y no reciben actualizaciones de seguridad. Drupal 8 ha llegado al final de su vida útil. El core de Drupal 7 no incluye Twig, por lo tanto, no se ve afectado.

Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue esta checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en casos reales:

Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados:

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de Twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), y el formulario web.

Detalle:

Logo Drupal

La actualización corrige múltiples vulnerabilidades que se podrían explotar si un atacante obtiene acceso para escribir código en Twig, incluido el acceso de lectura no autorizado a archivos privados, el contenido de otros archivos en el servidor o las credenciales de la base de datos
La vulnerabilidad se ve mitigada por el hecho de que la explotación solo es posible en el core de Drupal con un permiso administrativo de acceso restringido, pero pueden existir opciones de explotación alternativas para la misma vulnerabilidad que permitirían a los usuarios escribir plantillas en Twig.

Tu soporte técnico puede consultar una solución más detallada en el área de avisos de INCIBE-CERT.

Línea de ayuda en ciberseguridad 017

Etiquetas:
Actualización, CMS, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.