Vulnerabilidad de directory traversal detectada en el core de Drupal

Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad de directory traversal que afecta al core de Drupal, que permitiría a un atacante obtener acceso a los archivos confidenciales del sistema. 

La vulnerabilidad identificada como CVE-2022-39261, de severidad “crítica”, sin una puntuación asignada aún. Esta vulnerabilidad de directory traversal se debe a una falla en la biblioteca Twig. Esto permitiría a un atacante obtener acceso a los archivos confidenciales del sistema. 

Las versiones afectadas son: 

• Drupal, versión 8.0.0 y versiones anteriores a 9.3.22.  
• Drupal, versión 9.40 y versiones anteriores a 9.4.7. 

Recomendamos acceder a las actualizaciones correspondientes provistas por el fabricante en los siguientes enlaces: 

• Drupal 9.4.7. 
• Drupal 9.3.22. 

Referencias: 

• https://securityonline.info/cve-2022-39261-twig-directory-traversal-flaw-affects-drupal-core/ 
• https://www.drupal.org/sa-core-2022-016 
• https://github.com/twigphp/Twig/security/advisories/GHSA-52m2-vc4m-jj33 

• https://nvd.nist.gov/vuln/detail/CVE-2022-39261 
• https://www.drupal.org/project/drupal/releases/9.4.7 
• https://www.drupal.org/project/drupal/releases/9.3.22 
• https://github.com/twigphp/Twig/releases/tag/v3.4.3