El equipo de seguridad de Drupal ha
detectado una vulnerabilidad de severidad crítica en el core, que podría
permitir a un atacante remoto comprometer un sitio web basado en Drupal,
catalogada de Importancia: 5 - Crítica
Recursos
afectados:
Módulos contribuidos de Drupal 7.x
- Drupal 8.x
Recomendación
Drupal recomienda actualizar en función de la versión que
se disponga.
- Versión de Drupal 8.6.x, actualizar a Drupal 8.6.10.
- Versión de Drupal 8.5.x o anteriores, actualizar a
Drupal 8.5.11.
- Asegurarse de instalar las actualizaciones de
seguridad disponibles para los proyectos contribuidos después de
actualizar el núcleo de Drupal.
- No se requiere ninguna actualización del núcleo para
Drupal 7, pero varios módulos aportados por Drupal 7 requieren
actualizaciones.
Versiones de Drupal 8 anteriores a 8.5.x son end-of-life
y no recibirán cobertura de seguridad.
Detalle
de vulnerabilidades
Esta vulnerabilidad permite que
algunos tipos de campo no validen correctamente los datos de fuentes que no son
formularios, lo que puede llevar a la ejecución arbitraria de código PHP en
algunos casos. Se ha reservado el identificador CVE-2019-6340 para esta
vulnerabilidad.
Más
información
- Drupal core -
Highly critical - Remote Code Execution - SA-CORE-2019-003 https://www.drupal.org/sa-core-2019-003
Fuente: INCIBE