Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en el núcleo de Drupal

Fecha de publicación 17/01/2019
Importancia
5 - Crítica
Recursos Afectados
  • Drupal versiones 7.x, 8.5.x y 8.6.x
Descripción

El equipo de seguridad de Drupal ha publicado tres actualizaciones que corrigen múltiples vulnerabilidades en las versiones 7 y 8.

Solución
  • Actualizar a Drupal 7.62, 8.5.9 o 8.6.6 en función de la versión utilizada.

Las versiones de Drupal 8 anteriores a la 8.5.x están al final de su vida útil y no reciben cobertura de seguridad.

Detalle

Las principales vulnerabilidades corregidas con estas actualizaciones son:

  • El núcleo de Drupal utiliza la biblioteca PEAR Archive_Tar de terceros. Esta biblioteca ha publicado una actualización de seguridad que afecta a algunas configuraciones de Drupal. Se ha asignado el identificador CVE-2019-6338 para esta vulnerabilidad.

  • Una vulnerabilidad de ejecución de código remoto en el envoltorio integrado de phar stream de PHP, cuando se realizan operaciones de archivo en un phar:// URI no confiable, podría afectar a algunos códigos de Drupal (core, contrib y custom) que estén realizando operaciones de ficheros con entradas de usuario con validación incorrecta. Esta vulnerabilidad se ve mitigada por el hecho de que tales rutas de código normalmente requieren acceso con permisos de administrador o  una configuración atípica. Se ha asignado el identificador CVE-2019-6338 para esta vulnerabilidad. Se ha asignado el identificador CVE-2019-6339 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Drupal core - Critical - Third Party Libraries - SA-CORE-2019-001
Drupal core - Critical - Arbitrary PHP code execution - SA-CORE-2019-002
Etiquetas