Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en librerías de terceros en el core de Drupal

Fecha de publicación 09/05/2019
Importancia
3 - Media
Recursos Afectados
  • Drupal 8.7,
  • Drupal 8.6 y anteriores,
  • Drupal 7.
Descripción

El equipo de seguridad de Drupal ha detectado una vulnerabilidad de severidad media en dependencias de terceros que se incluyen en el core de Drupal.

Solución

Las versiones de Drupal 8, anteriores a 8.6.x, están en fase end-of-life y no reciben actualizaciones de seguridad.

Detalle
  • El paquete PharStreamWrapper, de TYPO3, está afectado por una vulnerabilidad de salto de directorio, que podría permitir a un atacante eludir el mecanismo de protección contra deserialización. Se ha asignado el identificador CVE-2019-11831 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Drupal core - Moderately critical - Third-party libraries - SA-CORE-2019-007
TYPO3-PSA-2019-007: By-passing protection of Phar Stream Wrapper Interceptor
Etiquetas