Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en el core de Drupal

Fecha de publicación 16/03/2023
Identificador

INCIBE-2023-0099

Importancia
3 - Media
Recursos Afectados
  • Versiones anteriores a 7.95.
  • Versiones comprendidas entre la 8.0.0 (incluida) hasta la 9.4.12 (no incluida).
  • Versiones comprendidas entre la 9.5.0 (incluida) hasta la 9.5.5 (no incluida).
  • Versiones comprendidas entre la 10.0.0 (incluida) hasta la 10.0.5 (no incluida).
Descripción

Varios investigadores han reportado 3 vulnerabilidades de severidad media que afectan a varias versiones del core de Drupal, y cuya explotación podría permitir la divulgación de información sensible.

Solución
  • Para Drupal 10.0, actualiza a Drupal 10.0.5.
  • Para  Drupal 9.5, actualiza a Drupal 9.5.5.
  • Para Drupal 9.4, actualiza a Drupal 9.4.12.
  • Para Drupal 7, actualiza a Drupal 7.95.

Nota: todas las versiones de Drupal 9, anteriores a 9.4.x, no reciben cobertura de seguridad. Además, Drupal 8 ha llegado a EOL.

Detalle
  • El módulo media no comprueba correctamente el acceso a las entidades en algunas circunstancias, lo que podría provocar que los usuarios vean miniaturas de elementos multimedia a los que no tienen acceso, incluso para archivos privados.
  • El módulo de idiomas proporciona un bloque de cambio que podría emplearse para proporcionar enlaces que permitan variar entre diferentes idiomas. En esta circunstancia, cuando se utiliza junto con un módulo como Pathauto, se podría revelar la URL del contenido no publicado.
  • El core de Drupal proporciona una página que muestra el marcado de phpinfo() para diagnosticar la configuración de PHP. Si un atacante utilizase un exploit XSS contra un usuario privilegiado, podría ser capaz de utilizar la página phpinfo para acceder a información sensible y escalar el ataque.

Encuesta valoración