Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades en el core de Drupal

Fecha de publicación 17/09/2020
Importancia
4 - Alta
Recursos Afectados

Versiones anteriores a:

  • 9.0.6;
  • 8.9.6;
  • 8.8.10;
  • 7.73.
Descripción

Se han publicado 5 vulnerabilidades en el core de Drupal, una de severidad alta y el resto medias, de tipos XSS, omisión de autenticación y divulgación de información.

Solución

Actualizar a las versiones 9.0.6, 8.9.6, 8.8.10 o 7.73.

Las versiones de Drupal 8 anteriores a 8.8.x están al final de su vida útil y ya no reciben cobertura de seguridad. Los portales en versiones 8.7.x o anterior deberán actualizarse a 8.8.10.

Detalle

La vulnerabilidad de severidad más alta es de tipo XSS reflejado, y podría permitir que un atacante aprovechara la forma en que se representa HTML para los formularios afectados. Se ha reservado el identificador CVE-2020-13668 para esta vulnerabilidad.

Para el resto de vulnerabilidades con menor criticidad se han reservado los identificadores: CVE-2020-13666, CVE-2020-13667, CVE-2020-13669 y CVE-2020-13670.

Encuesta valoración

Listado de referencias
Drupal core - Moderately critical - Cross-site scripting - SA-CORE-2020-007
Drupal core - Moderately critical - Access bypass - SA-CORE-2020-008
Drupal core - Critical - Cross-site scripting - SA-CORE-2020-009
Drupal core - Moderately critical - Cross-site scripting - SA-CORE-2020-010
Drupal core - Moderately critical - Information disclosure - SA-CORE-2020-011
Etiquetas