Descubierta otra falla crítica en Drupal

Estándar

Los desarrolladores de Drupal, uno de los más populares softwares de gestión de contenido de código abierto que da vida a millones de sitios web, han lanzado la última versión de su software para corregir una vulnerabilidad crítica que podría permitir a un atacante remotos tomar el control de un sitio que haga uso de Drupal.

La actualización se realizó dos días después de que el equipo de seguridad de Drupal publicara una notificación de seguridad anticipada de los parches que se avecinaban, dando a los administradores de sitios web los avisos iniciales para arreglar sus sitios web antes de que los cibercriminales se aprovechen de la brecha de seguridad.

La vulnerabilidad en cuestión es una falla crítica de ejecución remota de código (RCE) en el Drupal Core que podría permitir  la ejecución de código PHP arbitrario en algunos casos, según ha informado el equipo de seguridad de Drupal.

Si bien el equipo de Drupal no ha publicado ningún detalle técnico de la vulnerabilidad (CVE-2019-6340), mencionó que la falla reside en el hecho de que algunos tipos de campo no filtran apropiadamente los datos recibidos y esta vulnerabilidad afecta tanto a Drupal 7 y 8 Core.

También se debe tener en cuenta que si su sitio web está basado en Drupal solo se ve afectado si el módulo de Servicios web RESTful está habilitado y permite las solicitudes de PATCH o POST, o si tiene otro módulo de servicios web habilitado.

Si no puede instalar de inmediato la última actualización, entonces puede mitigar la vulnerabilidad simplemente deshabilitando todos los módulos de servicios web o configurando su servidor web para que no permita las solicitudes PUT/PATCH/POST a los recursos de servicios web.

El equipo de seguridad de Drupal nos advierte que:

“Tenga en cuenta que los recursos de servicios web pueden estar disponibles en varias rutas según la configuración de su servidor”.

Por ejemplo para Drupal 7, los recursos están, por ejemplo, típicamente disponibles a través de rutas (URL limpias). En cambio para Drupal 8, las rutas aún pueden funcionar cuando se prefijan con index.php.

Sin embargo, considerando la popularidad de las vulnerabilidades de Drupal entre los piratas informáticos, es altamente recomendable instalar la última actualización para su versión:

  • Si está utilizando Drupal 8.6.x, actualice su sitio web a Drupal 8.6.10.
  • Si está utilizando Drupal 8.5.xo una versión anterior, actualice su sitio web a Drupal 8.5.11

Drupal también dijo que el módulo de Servicios de Drupal 7 en sí no requiere una actualización en este momento, pero los usuarios aún deben considerar la aplicación de otras actualizaciones asociadas con la última recomendación si el módulo “Services” está en uso.

Drupal le ha dado crédito a Samuel Mortenson de su equipo de seguridad por descubrir y reportar la vulnerabilidad.