Ejecución remota de código en el core de Drupal
Las versiones de Drupal afectadas son:
- 8.x
- 7.x
- 6.x
El equipo de seguridad de Drupal ha publicado una actualización del core de drupal que corrige una posible ejecución remota de código considerada como muy crítica en versiones 7.x y 8.x, y también en versiones no soportadas como Drupal 6.
Actualizar el core de Drupal a la última versión:
En el caso de versiones 8.3.x o 8.4.x, versiones que actualmente ya no son soportadas, también se han publicado parches que corrigen esta vulnerabilidad, en concreto las versiones 8.3.9 y 8.4.6.
En el caso de Drupal 6, esta es una versión “End of Life” y se recomienda ponerse en contacto con un mantenedor de Drupal 6 LTS.
La vulnerabilidad conocida permitiría una ejecución remota de código y ha sido calificada como muy crítica por el equipo de Drupal. Se ha asignado el identificador CVE-2018-7600 para esta vulnerabilidad.
Drupal ha informado que la vulnerabilidad permitiría a cualquier visitante de la página web que pueda ejecutar código arbitrario en el sitio web, y acceder a la información del servidor web.
Esta vulnerabilidad ha sido descubierta por Jasper Mattsson durante una investigación general sobre la seguridad de Drupal y por el momento no se conoce la existencia de ningún código que permita explotarla.