Múltiples vulnerabilidades en el core de Drupal
- Versiones desde la 8.0.0 hasta la 10.4.9 (no incluida);
- Versiones desde la 10.5.0 hasta la 10.5.6 (no incluida);
- Versiones desde la 11.0.0 hasta la 11.1.9 (no incluida);
- Versiones desde la 11.2.0 hasta la 11.2.8 (no incluida).
Drupal ha publicado 4 vulnerabilidades de severidad alta que afectan a su núcleo y que de ser explotadas podrían permitir que las solicitudes legítimas reciban respuestas almacenadas en caché inapropiadas, ejecución remota de código, desfigurar el sitio o provocar que algunos usuarios obtengan versiones almacenadas en caché de archivos con información a la que no deberían tener acceso.
Actualizar a las versiones:
- 10.4.9
- 10.5.6
- 11.1.9
- 11.2.8
Drupal 11.0.x, Drupal 10.3.x y versiones anteriores han llegado al final de su ciclo de vida y no reciben cobertura de seguridad.
- CVE-2025-13080: esta vulnerabilidad de tipo envenenamiento de caché podría explotarse realizando un renderizado incorrecto de algunas páginas, disponiendo de páginas sin estilo o con formato incorrecto o impactando negativamente en la funcionalidad del lado del cliente.
- CVE-2025-13081: el núcleo de Drupal contiene una cadena de métodos que se puede explotar cuando existe una vulnerabilidad de deserialización insegura en el sitio. Esto, que se conoce como “cadena de gadgets“, no presenta una amenaza directa, pero es un vector que se puede usar para lograr la ejecución remota de código si la aplicación deserializa datos no confiables debido a otra vulnerabilidad.
- CVE-2025-13082: Al generar y engañar a un usuario para que visite una URL maliciosa, un atacante puede desfigurar el sitio. La desfiguración no se almacena y solo está presente cuando la URL se ha creado para ese propósito.
- CVE-2025-13083: El módulo principal ‘system’ gestiona las descargas de archivos privados y temporales. En algunos casos, los archivos pueden servirse con el encabezado HTTP de control de caché público (“Cache-Control: Public”) cuando no deberían poder almacenarse en la caché. Esto puede provocar que algunos usuarios obtengan versiones almacenadas en caché de archivos con información a la que no deberían tener acceso. Por ejemplo, los archivos pueden ser almacenados en caché por Varnish o una CDN.
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.