Cabecera-v2-web.jpg

Vulnerabilidades de riesgo crítico abordadas en Drupal


Fecha: 20/11/2020

Drupal ha lanzado recientemente parches de seguridad en los que ha abordado 4 vulnerabilidades de riesgo crítico que afectan al core de Drupal y a diversos módulos. La explotación exitosa de estos fallos permitiría a un atacante ejecutar código remoto y eludir los mecanismos de autenticación.

Productos Afectados:

  • Drupal core en versiones 9.0, 8.9, 8.8 o anteriores y 7;
  • Ink Filepicker;
  • Media oEmbed en versiones anteriores a la 7.x-2.8;
  • Examples 3 y 8.x-1.x;
  • Módulo miniorange_saml para Drupal 8.x y 7.x.

A continuación se describen las vulnerabilidades descubiertas:

El CVE-2020-13671, afecta a Drupal Core, el modulo Media oEmbed (SA-CONTRIB-2020-036) y al submódulo File Example del proyecto Examples (SA-CONTRIB-2020-035). Este fallo se da debido a que no se sanitizan correctamente ciertos nombres de archivo en los archivos cargados. Un atacante remoto podría cargar un archivo PHP malicioso y ejecutar código arbitrario, comprometiendo el sistema afectado.

Las siguientes extensiones de archivo deben considerarse peligrosas incluso cuando van seguidas de otra extensión:

  • phar
  • php
  • pl
  • py
  • cgi
  • asp
  • js
  • html
  • htm

Por otro lado, se abordaron también múltiples vulnerabilidades que permitirían a un atacante eludir los mecanismos de autenticación que afectan módulo miniorange_saml, identificadas con el identificador de Drupal SA-CONTRIB-2020-038.

Recomendaciones:

  • Actualice Drupal a las versiones 9.0.9, 8.9.9, 8.8.11 o 7.74.
  • Actualice los módulos afectados a las siguientes versiones:
    • miniorange_saml module, a las versiones 8.x-2.14 o 7.x-2.54;
    • Ink Filepicker, en el caso de este módulo, Drupal recomienda desinstalarlo;
    • Media oEmbed, a la última versión disponible, en este caso la versión 7.x-2.8;
    • Examples, a las versiones 3.0.2 o 8.x-1.1;
  • Adicionalmente, es recomendable auditar todos los archivos cargados previamente, con el fin de verificar si existen extensiones maliciosas. Busque específicamente archivos que incluyan más de una extensión como nombre de archivo, como por ejemplo “.php.txt” sin un guión bajo (_) en la extensión.

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11