Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Ejecución remota de código en el core de Drupal

Fecha de publicación 28/03/2018
Importancia
5 - Crítica
Recursos Afectados

Las versiones de Drupal afectadas son:

  • 8.x
  • 7.x
  • 6.x
Descripción

El equipo de seguridad de Drupal ha publicado una actualización del core de drupal que corrige una posible ejecución remota de código considerada como muy crítica en versiones 7.x y 8.x, y también en versiones no soportadas como Drupal 6.

Solución

Actualizar el core de Drupal a la última versión:

En el caso de versiones 8.3.x o 8.4.x, versiones que actualmente ya no son soportadas, también se han publicado parches que corrigen esta vulnerabilidad, en concreto las versiones 8.3.9 y 8.4.6.

En el caso de Drupal 6, esta es una versión “End of Life” y se recomienda ponerse en contacto con un mantenedor de Drupal 6 LTS.

Detalle

La vulnerabilidad conocida permitiría una ejecución remota de código y ha sido calificada como muy crítica por el equipo de Drupal. Se ha asignado el identificador CVE-2018-7600 para esta vulnerabilidad.

Drupal ha informado que la vulnerabilidad permitiría a cualquier visitante de la página web que pueda ejecutar código arbitrario en el sitio web, y acceder a la información del servidor web.

Esta vulnerabilidad ha sido descubierta por Jasper Mattsson durante una investigación general sobre la seguridad de Drupal y por el momento no se conoce la existencia de ningún código que permita explotarla.

Encuesta valoración