Cabecera-v2-web.jpg

Drupal aborda 2 vulnerabilidades críticas y una de bajo riesgo en su última actualización de seguridad


Recientemente Drupal ha abordado un total de 3 vulnerabilidades que afectan al núcleo de sus diferentes versiones, dos de ellas han sido catalogadas como críticas y 1 de riesgo bajo. Para estos fallos han sido reservados los siguientes identificadores: CVE-2020-13663, CVE-2020-13664 y CVE-2020-13665.

Las versiones afectadas de Drupal, son:

  • anterior a 9.0.1;
  • anterior a 8.9.1;
  • anterior a 8.8.8;
  • anterior a 7.72.

El fallo identificado como CVE-2020-13663 y catalogado como crítico, se da en la Form API del núcleo de Drupal, y es debido a que este maneja de forma errónea la entrada de datos de las solicitudes cross-site, derivando en una vulnerabilidad Cross-Site Request Forgery (CSRF). La explotación exitosa de esta vulnerabilidad podría permitir a un atacante tomar control del sitio web en el contexto del usuario víctima, modificar o eliminar elementos, entre otros ataques.

Por otro lado el fallo identificado como CVE-2020-13664 y catalogado como crítico, se trata de una vulnerabilidad de ejecución de código PHP arbitrario en Drupal 8 y 9. Sabiendo esto, un atacante podría engañar a un administrador para que ingrese a una sitio web malicioso, así crear un directorio en el sistema de archivos y con este directorio, realizar una ejecución remota de código. Los servidores Windows son más propensos a verse afectados por esta vulnerabilidad.

Por último el fallo identificado como CVE-2020-13665 y catalogado como de bajo riesgo, se da en la especificación JSON:API y es debido a que algunas solicitudes podrían omitir las validaciones en ciertos campos. Esta especificación funciona en modo read-only por defecto, haciendo imposible explotación de esta vulnerabilidad. Sin embargo, los sitios que cuenten con el atributo read_only asignado con false en el archivo jsonapi.settings son vulnerables. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante omitir las validaciones y obtener acceso al sitio.

Recomendaciones:

  • Descargar e instalar las nuevas versiones de Drupal, desde su página web oficial a las siguientes versiones:
  • Verificar que el atributo read_only esté asignado con true en el archivo jsonapi.settings.
  • Instalar un WAF (Web Application Firewall) que filtre las peticiones HTTP que contengan código malicioso.
  • Si usa Drupal, revisar periódicamente los avisos de seguridad desde el sitio web oficial.

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11