Múltiples vulnerabilidades en el núcleo de Drupal

Fecha de publicación: 17/01/2019

Importancia:
Crítica

Recursos afectados:

  • Drupal versiones 7.x, 8.5.x y 8.6.x

Descripción:

El equipo de seguridad de Drupal ha publicado tres actualizaciones que corrigen múltiples vulnerabilidades en las versiones 7 y 8.

Solución:

  • Actualizar a Drupal 7.62, 8.5.9 o 8.6.6 en función de la versión utilizada.

Las versiones de Drupal 8 anteriores a la 8.5.x están al final de su vida útil y no reciben cobertura de seguridad.

Detalle:

Las principales vulnerabilidades corregidas con estas actualizaciones son:

  • El núcleo de Drupal utiliza la biblioteca PEAR Archive_Tar de terceros. Esta biblioteca ha publicado una actualización de seguridad que afecta a algunas configuraciones de Drupal. Se ha asignado el identificador CVE-2018-1000888 para esta vulnerabilidad.
  • Una vulnerabilidad de ejecución de código remoto en el envoltorio integrado de phar stream de PHP, cuando se realizan operaciones de archivo en un phar:// URI no confiable, podría afectar a algunos códigos de Drupal (core, contrib y custom) que estén realizando operaciones de ficheros con entradas de usuario con validación incorrecta. Esta vulnerabilidad se ve mitigada por el hecho de que tales rutas de código normalmente requieren acceso con permisos de administrador o  una configuración atípica.

Encuesta valoración

Etiquetas:
Actualización, Gestor de contenidos, Vulnerabilidad

Powered by WPeMatico

Entradas relacionadas

About Gustavo Genez 2652 Articles
Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.