Vulnerabilidad en productos Drupal

Se ha descubierto una vulnerabilidad de severidad alta en el núcleo de Drupal. Un actor malicioso remoto podría aprovechar esta condición para lograr la ejecución remota de código y comprometer por completo el servidor web afectado.

Productos afectados

  • Drupal 10.5.x, versiones anteriores a la 10.5.12
  • Drupal 10.6.x, versiones anteriores a la 10.6.11
  • Drupal 11.2.x, versiones anteriores a la 11.2.14
  • Drupal 11.3.x, versiones anteriores a la 11.3.12
  • Drupal 11.0.x, todas las versiones
  • Drupal 11.1.x, todas las versiones
  • Drupal 10.4.x y versiones anteriores

Impacto

La vulnerabilidad se ha identificado como:

CVE-2026-55803: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de inyección de objetos PHP en el sistema de gestión de contenidos de código abierto Drupal específicamente dentro del módulo del núcleo JSON:API. La deficiencia radica en una cobertura incompleta de la protección implementada originalmente en el parche SA-CORE-2019-003, lo que permitiría omitir las restricciones de escrituras directas sobre campos que almacenan datos serializados. Un actor malicioso remoto autenticado con permisos de escritura específicos en la API podría inyectar cargas útiles maliciosas bajo circunstancias muy particulares.

Recomendación

Actualizar a la última versión disponible a través del sitio web oficial del fabricante.

Referencias

https://www.drupal.org/sa-core-2026-005
https://www.tenable.com/cve/CVE-2026-55803