Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en el core de Drupal

Fecha de publicación 29/09/2022
Identificador

INCIBE-2022-0943

Importancia
4 - Alta
Recursos Afectados

Versiones del core de Drupal:

  • desde 8.0.0 hasta la anterior a 9.3.22;
  • desde 9.4.0 hasta la anterior a 9.4.7.
Descripción

Se ha notificado una vulnerabilidad de severidad alta en el core de Drupal 8 y 9, que podría permitir a un atacante leer el contenido de archivos privados o credenciales de bases de datos.

Solución

Actualizar a Drupal 9.4.7 o 9.3.22, según la versión afectada

Detalle

La librería Twig, empleada en el core de Drupal, ha publicado un aviso para informar de una vulnerabilidad. Un atacante podría acceder a escribir código en Twig, incluyendo el acceso de lectura no autorizado a archivos privados, así como otros archivos en el servidor, o las credenciales de la base de datos. La explotación en el core de Drupal solo es posible con un permiso administrativo de acceso restringido. Se ha asignado el identificador CVE-2022-39261 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Drupal core - Critical - Multiple vulnerabilities - SA-CORE-2022-016
Etiquetas