El equipo de seguridad de Drupal ha emitido una alerta crítica de seguridad sobre el core de la herramienta que permitiría la ejecución arbitraria de código PHP.
Drupal emplea la librearía PEAR Archive_Tar, sobre la cual se ha publicado una actualización de seguridad que tiene un impacto directo en su núcleo, las cuales permitirían la ejecución arbitraria de código PHP si hemos configurado la posibilidad de subir archivos .tar, .tar.gz, bz2 o .tlz a nuestro servidor.
Para solucionar esta vulnerabilidad se han publicado las siguientes actualizaciones:
- Si estás utilizando Drupal 9.0, actualización 9.0.9.
- Si estás utilizando Druap 8.9, actualización 8.9.10.
- Si estás utilizando Drupal 8.8 o anterior, actualización 8.8.12.
- Si estás utilizando Drupal 7, actualización 7.75.
Actualizar nuestra instalación no nos llevará más que unos minutos. Es nuestra responsabilidad proteger nuestro sitio y a nuestros usuarios. Podemos encontrar toda la información sobre esta actualización de seguridad en el espacio web del equipo de seguridad de Drupal.
SA-CORE-2020-013 released outside the normal core security window to address a vulnerability in a 3rd party library. More details are in the SA: https://t.co/UVCmHcNjUd
— Drupal Security (@drupalsecurity) November 26, 2020