Vulnerabilidad de escalada de privilegios en el core de Drupal

Vulnerabilidad de escalada de privilegios en el core de Drupal
Jue, 21/09/2023 – 12:46

Recursos Afectados

Core de Drupal, versiones:

  • desde 8.7.0 hasta anteriores a 9.5.11;
  • desde 10.0 hasta anteriores a 10.0.11;
  • desde 10.1 hasta anteriores a 10.1.4.

Drupal 7 no está afectado.

Descripción

El investigador Ghostccamm ha reportado una vulnerabilidad de severidad alta que afecta al core de Drupal, cuya explotación podría permitir una escalada de privilegios.

4 – Alta
Solución

Instalar la última versión:

  • Drupal 10.1, actualizar a 10.1.4;
  • Drupal 10.0, actualizar a 10.0.11;
  • Drupal 9.5, actualizar a 9.5.11.

Todas las versiones de Drupal 9 anteriores a la 9.5, junto con Drupal 8, están en fase EoL y no reciben actualizaciones de seguridad.

Detalle

Esta vulnerabilidad afecta únicamente a páginas web con el módulo JSON:API habilitado, ya que dicho módulo mostrará trazas de errores que en algunas configuraciones podría hacer que la información sensible se almacene en caché (cache poisoning) y se ponga a disposición de usuarios anónimos, dando lugar a una escalada de privilegios.

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.