Múltiples vulnerabilidades en el core de Drupal 7 y 9
Fecha de publicación 21/07/2022
Identificador
INCIBE-2022-0845
Importancia
4 - Alta
Recursos Afectados
- Versiones Drupal core 9.4 anteriores a 9.4.3;
- versiones Drupal core 9.3 anteriores a 9.3.19;
- versiones Drupal core 7 anteriores a 7.91.
- todas las versiones de Drupal 9 anteriores a 9.3.x, junto con Drupal 8, están al final de su vida útil (EOL) y no reciben cobertura de seguridad.
Descripción
Se han publicado 3 vulnerabilidades de severidad media y 1 alta en los cores de drupal 7 y 9 que podrían permitir a un atacante la ejecución de código PHP arbitrario, divulgación de información, omisión de acceso, realizar ataques cross-site scripting o el filtrado de cookies.
Detalle
- El núcleo de Drupal sanea los nombres de archivo con extensiones peligrosas al subirlos y elimina los puntos iniciales y finales de los nombres de archivo, para evitar que se suban archivos de configuración del servidor. Sin embargo, estas protecciones no funcionaban correctamente juntas, por lo que si el sitio estaba configurado para permitir la carga de archivos con una extensión htaccess, los nombres de estos archivos no eran saneados correctamente. Esto podría permitir a un atacante eludir las protecciones proporcionadas por los archivos .htaccess por defecto del núcleo de Drupal y la ejecución remota de código en servidores web Apache. Se ha asignado el identificador CVE-2022-25277 para esta vulnerabilidad alta que afecta al core de Drupal 9.
- En algunas situaciones, el módulo 'imagen' no comprueba correctamente el acceso a los archivos de imagen no almacenados en el directorio de archivos públicos estándar cuando se generan imágenes derivadas utilizando el sistema de estilos de imagen, lo que podría permitir la divulgación de información. Se ha asignado el identificador CVE-2022-25275 para esta vulnerabilidad media que afecta al core de Drupal 7 y 9.
Para el resto de vulnerabilidades de severidad media, que afectan al core de Drupal 9, se han asignado los identificadores CVE-2022-25278 y CVE-2022-25276.
Listado de referencias
Etiquetas