Descubren otra vulnerabilidad crítica en Drupal ¡Parchea cuanto antes!

¿Está Durpal mal mantenido desde el punto de vista de la seguridad? El que llegara a ser el CMS más utilizado del mundo hace años no está pasando por su mejor momento debido al descubrimiento de múltiples vulnerabilidades importantes en un corto espacio del tiempo, lo que podría terminar dañando la reputación de un software que hace tiempo claudicó ante WordPress en cuota de mercado.

Si el mes pasado nos hicimos eco de una grave vulnerabilidad de ejecución de código en remoto que luego se vio que estaba siendo explotada debido a la falta de diligencia de desarrolladores y administradores a la hora de aplicar los parches, ahora, más recientemente y según ArsTechnica, se ha descubierto otra vulnerabilidad que algunos están llamando Drupalgeddon3, que empezó a ser explotada tan solo horas después de que los desarrolladores de Drupal la divulgaran.

Según explica el equipo de seguridad de Drupal, los atacantes están usando una prueba de concepto de ataque publicada en Internet que muestra cómo explotar la vulnerabilidad recientemente descubierta, aunque esta todavía no ha sido automatizada de forma que pueda atacar a una gran cantidad de sitios de una vez. Esto es debido a que el proceso de explotación requiere de permisos y configuraciones que cambian en cada sitio web, por lo que el porcentaje de éxito de los ataques es desconocido. Aun así, la vulnerabilidad, cuyo código es CVE-2018-7602, ha sido considerada de gravedad crítica por los mantenedores del CMS.

Los mantenedores de Drupal publicaron el miércoles un parche contra la vulnerabilidad CVE-2018-7602, pero igual que en la otra ocasión, ahora es cuestión de que los administradores y los desarrolladores de los sitios web se pongan manos a la obra y lo apliquen. El problema de seguridad ha afectado a las versiones 7 y 8 de Drupal y resulta algo menos grave que Drupalgeddon2 debido a que es más compleja de explotar al requerir permisos y una configuración determinada del sitio web.

Los mantenedores de sitios web Drupal, sobre todo si están expuestos a Internet, tienen que actualizar a las versiones 7.59 y 8.5.3 del CMS. Como medida excepcional, el parche también ha sido publicado para la rama 8.4, apareciendo así la versión de mantenimiento 8.4.8.