Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en el núcleo de Drupal

Fecha de publicación 18/10/2018
Importancia
5 - Crítica
Recursos Afectados
  • Drupal versiones 7.x y 8.x
Descripción

Drupal ha publicado un boletín de seguridad que contiene 5 vulnerabilidades que podrían derivar en evasión de autorización para accesos específicos, redirecciones a sitios arbitrarios o ejecución remota de código.

Solución

Dependiendo de la versión desplegada, se deberá actualizar a una de las siguientes versiones: 7.60, 8.6.2 u 8.5.8.

Detalle

A continuación se detallan las vulnerabilidades que Drupal ha categorizado como Critical según el CMSS de NIST:

  • Inyección en DefaultMailSystem::mail(). Cuando se envía un correo electrónico, algunas variables no son saneadas correctamente. En concreto, podrían contener argumentos usados en línea de comandos. Esta situación podría derivar en la ejecución remota de código por parte de un atacante.
  • Validación de enlaces contextuales. El módulo de estos enlaces no valida suficientemente los solicitados. Esta vulnerabilidad requiere que el atacante tenga un rol con el permiso access contextual links y podría derivar en la ejecución remota de código.

Encuesta valoración

Listado de referencias
Drupal Core - Multiple Vulnerabilities - SA-CORE-2018-006
Etiquetas