El equipo de seguridad de Drupal ha publicado un boletín de seguridad calificado como crítico, en el que se soluciona una vulnerabilidad que podría permitir a un atacante evitar los controles de acceso.

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

Detalle de la vulnerabilidad subsanada

  • El problema, con CVE-2017-6919 y considerado crítico, consiste en un salto del acceso. Un sitio solo se ve afectado si se cumplen las siguientes condiciones: el sitio tiene activo el módulo RESTful Web Services, permite peticiones PATCH y el atacante puede tener o registrar una cuenta de usuario en el sitio.

Recursos afectados

  • Se ven afectadas las versiones 8.x anteriores a 8.2.8 y 8.3.1.

Recomendación

Se recomienda la actualización a la versión Drupal correspondiente:

Cabe señalar, que aunque Drupal no proporciona actualizaciones de seguridad para versiones menores no soportadas, dada la gravedad del problema han proporcionado una versión 8.2.x. De esta forma todos los sitios que no han tenido oportunidad de actualizar a 8.3.0 pueden evitar el problema.

Más información:

Fuente: Hispasec

Anuncios