El equipo de
seguridad de Drupal ha publicado una actualización del core de drupal que
corrige una posible ejecución remota de código considerada como muy crítica en
versiones 7.x y 8.x, y también en versiones no soportadas como Drupal, catalogada
de Importancia: 5 - Crítica
Detalle de vulnerabilidades
La vulnerabilidad
conocida permitiría una ejecución remota de código y ha sido calificada como
muy crítica por el equipo de Drupal. Se ha asignado el identificador
CVE-2018-7600 para esta vulnerabilidad.
Drupal ha informado
que la vulnerabilidad permitiría a cualquier visitante de la página web que
pueda ejecutar código arbitrario en el sitio web, y acceder a la información
del servidor web.
Esta vulnerabilidad
ha sido descubierta por Jasper Mattsson durante una investigación general sobre
la seguridad de Drupal y por el momento no se conoce la existencia de ningún
código que permita explotarla.
Recursos afectados:
Las versiones de
Drupal afectadas son:
·
8.x
·
7.x
·
6.x
Recomendación
Actualizar el core de
Drupal a la última versión:
·
Drupal
8.5.1
·
Drupal
7.58
En el caso de
versiones 8.3.x o 8.4.x, versiones que actualmente ya no son soportadas,
también se han publicado parches que corrigen esta vulnerabilidad, en concreto
las versiones 8.3.9 y 8.4.6.
En el caso de Drupal
6, esta es una versión “End of Life” y se recomienda ponerse en contacto con un
mantenedor de Drupal 6 LTS.
Más información
- Drupal core - Highly critical - Remote Code
Execution - SA-CORE-2018-002 https://www.drupal.org/sa-core-2018-002
- FAQ about SA-CORE-2018-002 https://groups.drupal.org/security/faq-2018-002
Fuente: INCIBE