Vulnerabilidad de ejecución remota de código en el core de Drupal
Fecha de publicación 21/02/2019
Importancia
5 - Crítica
Recursos Afectados
- Módulos contribuidos de Drupal 7.x
- Drupal 8.x
Descripción
El equipo de seguridad de Drupal ha detectado una vulnerabilidad de severidad crítica en el core, que podría permitir a un atacante remoto comprometer un sitio web basado en Drupal.
Solución
Drupal recomienda actualizar en función de la versión que se disponga.
- Versión de Drupal 8.6.x, actualizar a Drupal 8.6.10.
- Versión de Drupal 8.5.x o anteriores, actualizar a Drupal 8.5.11.
- Asegurarse de instalar las actualizaciones de seguridad disponibles para los proyectos contribuidos después de actualizar el núcleo de Drupal.
- No se requiere ninguna actualización del núcleo para Drupal 7, pero varios módulos aportados por Drupal 7 requieren actualizaciones.
Versiones de Drupal 8 anteriores a 8.5.x son end-of-life y no recibirán cobertura de seguridad.
Detalle
- Esta vulnerabilidad permite que algunos tipos de campo no validen correctamente los datos de fuentes que no son formularios, lo que puede llevar a la ejecución arbitraria de código PHP en algunos casos. Se ha reservado el identificador CVE-2019-6340 para esta vulnerabilidad.
Listado de referencias
Etiquetas