1 de abril de 2018

DRUPAL. Ejecución remota de código en el core del CMS

El equipo de seguridad de Drupal ha publicado una actualización del core de drupal que corrige una posible ejecución remota de código considerada como muy crítica en versiones 7.x y 8.x, y también en versiones no soportadas como Drupal, catalogada de Importancia: 5 - Crítica
Detalle de vulnerabilidades
La vulnerabilidad conocida permitiría una ejecución remota de código y ha sido calificada como muy crítica por el equipo de Drupal. Se ha asignado el identificador CVE-2018-7600 para esta vulnerabilidad.
Drupal ha informado que la vulnerabilidad permitiría a cualquier visitante de la página web que pueda ejecutar código arbitrario en el sitio web, y acceder a la información del servidor web.
Esta vulnerabilidad ha sido descubierta por Jasper Mattsson durante una investigación general sobre la seguridad de Drupal y por el momento no se conoce la existencia de ningún código que permita explotarla.
Recursos afectados:
Las versiones de Drupal afectadas son:
·        8.x
·        7.x
·        6.x
Recomendación
Actualizar el core de Drupal a la última versión:
·        Drupal 8.5.1
·        Drupal 7.58
En el caso de versiones 8.3.x o 8.4.x, versiones que actualmente ya no son soportadas, también se han publicado parches que corrigen esta vulnerabilidad, en concreto las versiones 8.3.9 y 8.4.6.
En el caso de Drupal 6, esta es una versión “End of Life” y se recomienda ponerse en contacto con un mantenedor de Drupal 6 LTS.
Más información
Fuente: INCIBE