Ejecución arbitraria de código PHP en el core de Drupal
Versiones anteriores a:
- 9.0.9;
- 8.9.10;
- 8.8.12;
- 7.75.
Se ha publicado una vulnerabilidad, de severidad crítica, de tipo ejecución arbitraria de código PHP, que afecta al core de Drupal.
Actualizar a las versiones 9.0.9, 8.9.10, 8.8.12 o 7.75.
Las versiones de Drupal 8, anteriores a 8.8.x, están al final de su vida útil y ya no reciben cobertura de seguridad.
Para mitigar este problema, evite que los usuarios que no sean de confianza, carguen archivos .tar; .tar.gz; .bz2 o .tlz.
Se recomienda actualizar lo antes posible, ya que existen detalles técnicos que permiten la explotación de esta vulnerabilidad.
La biblioteca PEAR Archive_Tar, utilizada por Drupal, ha publicado una actualización de seguridad para solucionar las siguientes vulnerabilidades:
- Archive_Tar, versiones anteriores a la 1.4.10, permite un ataque de no serialización porque "phar:" está bloqueado, pero "PHAR:" no lo está. Se ha asignado el identificador CVE-2020-28948 para esta vulnerabilidad.
- rchive_Tar, versiones anteriores a la 1.4.10, presenta una desinfección del nombre de archivo "://" solo para abordar los ataques phar y, por lo tanto, cualquier otro ataque de empaquetado de flujo (como "file://" para sobrescribir archivos) aún podría tener éxito. Se ha asignado el identificador CVE-2020-28949 para esta vulnerabilidad.
Los proyectos Drupal que estén configurados para permitir la carga y procesado de archivos .tar; .tar.gz; .bz2 o .tlz, son vulnerables, además, existen detalles técnicos que permiten la explotación de esta vulnerabilidad.
