Desde el pasado día 18 sabemos que se ha descubierto una nueva vulnerabilidad crítica tanto para Drupal 7 como para la versión 8 que es necesario corregir a la mayor brevedad. Para ello, solo hay que actualizar la versión de Drupal 7.x, 8.6.x, 8.5.x y anteriores a la última versión.
La vulnerabilidad afecta al core y la solución es instalar las siguientes versiones:
- Si utilizas Drupal 7.x, actualiza a la versión 7.60
- Si utilizas Drupal 8.6.x, actualiza a la versión 8.6.2
- Si utilizas Drupal 8.5.x o actualiza a la versión 8.5.8
Como siempre, muy recomendado sacar copia de los archivos y la base de datos antes de actualizar para prevenir cualquier problema.
Esta actualización de seguridad corrige los siguientes fallos de seguridad:
- A los usuarios que no tenían acceso para usar las opciones de moderación de contenido se les concedía acceso para actualizar el contenido sin solicitar credenciales, siempre y cuando el estado del contenido no cambiara. Esto podría permitir que usuarios sin autorización realizasen cambios en el portal.
- El módulo de direcciones permite a los administradores de este módulo crear redirecciones a sitios web maliciosos. Para explotar esta vulnerabilidad, el ciberdelincuente tendría que ser administrador del módulo de direcciones, lo que implica un bajo riesgo.
- Al igual que en el anterior caso, pero dentro del módulo de enlaces contextuales, un atacante podría aprovechar esta vulnerabilidad para dirigir a los usuarios a páginas web maliciosas. Se necesitan privilegios de administrador por lo que también implica un riesgo bajo.
- El núcleo de Drupal y los módulos añadidos utilizan frecuentemente un parámetro de cadena de consulta «destino» en las URLs para redirigir a los usuarios a un nuevo destino después de completar una acción en la página actual. Bajo ciertas circunstancias, los usuarios maliciosos pueden utilizar este parámetro para construir una URL que engañe a los usuarios para que sean redirigidos a un sitio web de terceros, exponiéndolos así a posibles ataques de ingeniería social.
- Al enviar correos electrónicos, algunas variables no se gestionaban adecuadamente, lo que podía permitir a un atacante la ejecución remota de código de su elección para realizar cambios en el portal.
Fuente: Incibe