Drupal ha publicado actualizaciones de seguridad que subsanan una vulnerabilidad que afecta a la librería de Drupal Core, que permitiría a un atacante enviar inputs en las cabeceras HTTP sin ser validados.
La vulnerabilidad CVE-2022-24775 de severidad alta, con una puntuación asignada de 7.5. Esta se debe a la incorrecta validación de entrada en el paquete guzzle http/psr7, que permitiría a un atacante posicionarse en un carácter de nueva línea y pasar valores no confiables, logrando así enviar inputs en las cabeceras HTTP sin ser validados.
Drupal utiliza la biblioteca Guzzle de terceros para manejar solicitudes HTTP y respuestas a servicios externos.
Las versiones de Drupal afectadas son:
- Drupal versión 9.3.
- Drupal versión 9.2.
Recomendamos instalar las actualizaciones correspondientes según su distribución, mediante los siguientes enlaces:
Para Drupal 9.3, actualice a Drupal 9.3.9:
Para Drupal 9.2, actualice a Drupal 9.2.16:
Referencias: