Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Corregidas varias vulnerabilidades críticas que afectan a Drupal ¡Actualiza!

Fecha de publicación 18/06/2020
Importancia
4 - Alta
Recursos Afectados

Versiones de Drupal anteriores a:

  • Drupal 7.72.
  • Drupal 8.8.8.
  • Drupal 8.9.1.
  • Drupal 9.0.1.
Descripción

Se ha publicado una nueva actualización de seguridad que afecta al núcleo del gestor de contenidos y que soluciona tres vulnerabilidades.

Solución

Se recomienda actualizar Drupal a la última versión disponible, para ello puedes acceder a los siguientes enlaces:

Si utilizas una versión de Drupal 8 anterior a la 8.8, debes actualizar a la última versión disponible ya que las anteriores no cuentan con soporte.

Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en casos reales:

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa y Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 017.

Detalle

Drupal

Esta actualización corrige las siguientes vulnerabilidades:

  • La primera de las vulnerabilidades puede provocar que en determinadas situaciones, al introducir datos maliciosos en un formulario, un ciberdelincuente aproveche otras vulnerabilidades presentes en el núcleo de Drupal.
  • La segunda vulnerabilidad detectada afecta principalmente a las versiones de Drupal en servidores de Windows. Esta vulnerabilidad podría ser aprovechada con intenciones maliciosas para ejecutar código remoto malicioso en el servidor objetivo del ataque.
  • Por último, la tercera vulnerabilidad de tipo leve afecta a la interfaz de programación de aplicaciones (API) de JSON, que permite validar las solicitudes realizadas que afectan a ciertos campos debido a una configuración vulnerable de la misma.

Tu soporte tecnológico puede consultar una solución más técnica en el área de avisos del INCIBE-CERT.

Línea de ayuda en ciberseguridad 017