El equipo de seguridad de Drupal ha emitido varias alertas de seguridad sobre el core de la herramienta, dos de las cuales son de carácter crítico, por lo que se recomienda su actualización inmediata.
En concreto se han emitido tres alertas de seguridad de las cuales dos de ellas han sido catalogadas como críticas. Las alertas emitidas son:
- Drupal Core.- Crítica.- Cross Site Request Forgery.- SA-CORE-2020-004. Se ha detectado que la API de formularios del core de Drupal no gestiona de manera correcta las peticiones, lo que puede conllevar la aparición de otras vulnerabilidades.
Las amenazas del tipo Cross-site Request Forguery son un tipo de vulnerabilidad en las cuales se fuerza a un usuario de una aplicación web en la cual están autenticados a la realización de acciones no deseadas, como puede ser la realización de otro tipo de ataques o realizar cambios en el propio sistema.
Para solucionar esta importante vulnerabilidad se han publicado las siguientes actualizaciones que solucionan dicho problema:- Version 7.x: Drupal 7.72.
- Versión 8.8.x: Drupal 8.8.8
- Versión 8.9.x: Drupal 8.9.1
- Versión 9.0.x: Drupal 9.0.1
- Versiones anteriores a 8.8.0 están fuera de su ciclo de vida y por lo tanto no reciben actualizaciones de seguridad. Para estos sitios se recomienda actualizar a alguna versión para la que se haya publicado esta actualización de seguridad.
- Drupal Core.- Crítica.- Ejecución arbitraria de código PHP.- SA-CORE-2020-005. Bajo unas determinadas circunstancias, un posible atacante podría ejecutar código remoto en versiones 8 y 9 de Drupal. Un usuario con rol de administrador identificado en una aplicación desarrollada con Drupal podría ser engañada para visitar un determinado sitio web a través del cual se instalaría una carpeta dentro de nuestra instalación de Drupal a través de la cual se podría ejecutar código PHP malicioso.
Esta vulnerabilidad es más fácil de ejecutar en servidores Windows.
Para su solución se han publicado las siguientes actualizaciones:- Versión 8.8.x: Drupal 8.8.8.
- Versión 8.9.x: Drupal 8.9.1.
- Versión 9.0.x: Drupal 9.0.1.
- Versiones anteriores a 8.8.0 debería actualizar a una versión para la que existan actualizaciones de seguridad.
- Drupal Core.- Peligrosidad baja.- Access by pass.- SA-CORE-2020-006. Peticiones del tipo JSON:API PATCH pueden saltarse la validación para determinados campos. De manera predeterminada la JSON:API de Drupal trabaja en modo solo lectura lo que hace imposible que se pueda explotar esta vulnerabilidad. Pero puede darse el caso que voluntariamente se haya cambiado la configuración de la API y se haya marcado dentro del archivo jsonapi.settings la opción read_only como FALSE.
Para solucionar esta posible brecha de seguridad se han publicado las siguientes actualizaciones:- Versión 8.8.x: Drupal 8.8.8.
- Versión 8.9.x: Drupal 8.9.1
- Versión 9.0.x: Drupal 9.0.1
- Versiones anteriores a la 8.8.x deberían actualizar a alguna versión para la que existan actualizaciones de seguridad.
Las vulnerabilidades han sido detectadas y se han corregido en tiempo en forma. Ahora sólo está de nuestra mano, como administradores de un sitio web, el aplicarlas y de esta manera proteger nuestra instalación y nuestros usuarios. La mayoría de problemas de seguridad tienen como origen una falta de mantenimiento de éste. No lo dejes, aunque aplicar esta actualización nos puede llevar un rato, siempre es una buena idea y merece la pena mantener nuestros sitios completamente actualizados.
Podemos encontrar toda la información sobre esta actualización en el espacio web del Drupal Security Team.
Drupal 7.72, Drupal 8.8.8, Drupal 8.9.1 and Drupal 9.0.1 have been released to address security issue. More information is at https://t.co/l7fUjxXbeH
— Drupal Security (@drupalsecurity) June 17, 2020