Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Si tu web usa Drupal, actualiza para evitar estas vulnerabilidades

Fecha de publicación 29/09/2022
Importancia
4 - Alta
Recursos Afectados

Las versiones de Drupal correspondientes a los siguientes intervalos:

  • desde 8.0.0 hasta la anterior a 9.3.22;
  • desde 9.4.0 hasta la anterior a 9.4.7.
Descripción

Se ha publicado una actualización para corregir una vulnerabilidad que afecta al core de Drupal. El código del core de Drupal que extiende Twig se ha actualizado para mitigar la vulnerabilidad, ya que Drupal utiliza la librería Twig para la sanitización de plantillas de contenido.

Solución

Se recomienda actualizar Drupal a la última versión disponible. Para ello, puedes acceder a los siguientes enlaces:

  • Si utilizas Drupal 9.4, actualiza a Drupal 9.4.7.
  • Si utilizas Drupal 9.3, actualiza a Drupal 9.3.22.

Todas las versiones de Drupal 9, anteriores a 9.3.x, están al final de su ciclo de vida y no reciben actualizaciones de seguridad. Drupal 8 ha llegado al final de su vida útil. El core de Drupal 7 no incluye Twig, por lo tanto, no se ve afectado.

Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue esta checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en casos reales:

Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados:

Detalle

La actualización corrige múltiples vulnerabilidades que se podrían explotar si un atacante obtiene acceso para escribir código en Twig, incluido el acceso de lectura no autorizado a archivos privados, el contenido de otros archivos en el servidor o las credenciales de la base de datos
La vulnerabilidad se ve mitigada por el hecho de que la explotación solo es posible en el core de Drupal con un permiso administrativo de acceso restringido, pero pueden existir opciones de explotación alternativas para la misma vulnerabilidad que permitirían a los usuarios escribir plantillas en Twig.

Tu soporte técnico puede consultar una solución más detallada en el área de avisos de INCIBE-CERT.

 

Contenido realizado en el marco de los fondos del  Plan de Recuperación, Transformación y Resiliencia  del Gobierno de España, financiado por la Unión Europea (Next Generation).

Listado de referencias
Drupal core - Critical - Multiple vulnerabilities - SA-CORE-2022-016
Etiquetas