Vulnerabilidad en el core de Drupal

Fecha de publicación: 29/09/2022

Importancia:
Alta

Recursos afectados:

Versiones del core de Drupal:

  • desde 8.0.0 hasta la anterior a 9.3.22;
  • desde 9.4.0 hasta la anterior a 9.4.7.

Descripción:

Se ha notificado una vulnerabilidad de severidad alta en el core de Drupal 8 y 9, que podría permitir a un atacante leer el contenido de archivos privados o credenciales de bases de datos.

Solución:

Actualizar a Drupal 9.4.7 o 9.3.22, según la versión afectada

Detalle:

La librería Twig, empleada en el core de Drupal, ha publicado un aviso para informar de una vulnerabilidad. Un atacante podría acceder a escribir código en Twig, incluyendo el acceso de lectura no autorizado a archivos privados, así como otros archivos en el servidor, o las credenciales de la base de datos. La explotación en el core de Drupal solo es posible con un permiso administrativo de acceso restringido. Se ha asignado el identificador CVE-2022-39261 para esta vulnerabilidad.

Encuesta valoración

Etiquetas:
Actualización, CMS, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.