Drupal soluciona una vulnerabilidad crítica en su nueva actualización

Drupal ha lanzado una actualización con el objetivo de solucionar una vulnerabilidad crítica. Esta se considera crítica, ya que afecta a la biblioteca pear Archive Tar, lo que permitiría a cualquier ciberdelincuente ejecutar exploits mediante la subida de archivos tipo .tar, .tar.gz, .bz2, o .tlz. Mediante estos explotis, el atacante puede realizar operaciones de escritura con Directory Traversal, debido a una inadecuada comprobación de los enlaces simbólicos.

Se encuentran afectados por dicha vulnerabilidad las versiones de Drupal anteriores a:

• Drupal 9.1.3
• Drupal 9.0.11
• Drupal 8.9.13
• Drupal 7.8;

Es importante que aquellos que usen Drupal en su sitio web lo actualicen a la última versión disponible. Os dejamos a continuación los enlaces que podéis utilizar dependiendo de la versión que tengáis instalada :

• Si utilizas Drupal 9.1, actualiza a Drupal 9.1.3.
• Si utilizas Drupal 9.0, actualiza a Drupal 9.0.11.
• Si utilizas Drupal 8.9, actualiza a Drupal 8.9.13.
• Si utilizas Drupal 7, actualiza a Drupal 7.78.

Hay que tener en cuenta también que las versiones de Drupal 8 anteriores a la 8.9.x no recibirán actualizaciones de seguridad por encontrarse ya al final de su vida útil.

Por supuesto también se recomienda desactivar la subida de los archivos .tar, .tar.gz, .bz2 y .tlz para mitigar la vulnerabilidad y hacer una copia de seguridad de los archivos de tu servidor y de la base de datos, antes de proceder a actualizar tu gestor de contenidos. Sumado a lo anterior, es aconsejable realizar pruebas previas en entornos de preproducción y comprobar que todo funciona correctamente tras la actualización.

Artículos relacionados: