Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Si usas Drupal en tu empresa, este aviso te importa

Fecha de publicación 19/04/2018
Importancia
3 - Media
Recursos Afectados

Drupal 8: versiones anteriores a 8.5.2 u 8.4.7.

Drupal 7: si se instaló el editor CKEditor empleando un método distinto a CDN y se utiliza en una versión comprendida entre la 4.5.11 y la 4.9.1.

Descripción

Se ha publicado una nueva actualización de seguridad para el gestor de contenidos Drupal, que soluciona una vulnerabilidad del tipo cross-site scripting (XSS) en Drupal 8.

Solución

La solución a este problema de seguridad es instalar la versión más reciente del Drupal:

  • Para versiones anteriores de Drupal 8, actualice a las versiones Drupal 8.5.2 o Drupal 8.4.7.
  • Para las versiones de Drupal 7 indicadas en la sección recursos afectados: Actualizar CKEditor a 4.9.2

Antes de realizar ninguna actualización del gestor de contenidos Drupal, es necesario realizar una copia de seguridad de la base de datos y de todos los ficheros que componen el sitio web, incluida una copia del fichero de configuración del portal. Además, se recomienda comprobar que se ha realizado dicha copia de seguridad y que llegado el momento, se podría recuperar.

Cuando se instala Drupal, se puede configurar el servicio de comprobación de actualizaciones automática, de tal forma que es el propio portal de Drupal el que nos avisa de la existencia de nuevas actualizaciones.

Captura de pantalla que muestra la actualización disponible en el propio gestor de contenidos.

Para actualizar Drupal, será necesario sobrescribir los archivos incluidos en el paquete de actualización.

Captura de pantalla del sitio de web de drupal donde se muestra la versión de drupal 8.5.2 disponible para descargar

Una vez instalado, habrá que configurar aspectos básicos de Drupal hasta que nos indique que la actualización ha finalizado. Esta labor debe ser realizada por el personal técnico.

Captura de pantalla que muestra que el drupal se ha actualizado correctamente a al versión 8.5.2

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa. Serás el primero en enterarte de los últimos avisos de seguridad para empresas.

Detalle

Esta actualización está destinada a solucionar una vulnerabilidad del CKEditor (biblioteca JavaScript), incluida en el núcleo de Drupal, que evitará ataques del tipo cross-site scripting (XSS). La vulnerabilidad se produce al ejecutar XSS dentro del CKEditor cuando se utiliza el plugin image2.

Mediante este código insertado a través del XSS, un atacante podría cambiar la configuración del servidor, destruir el sitio web, secuestrar cuentas y sesiones de usuarios, escuchar comunicaciones (incluso cifradas), dirigir al usuario a sitios maliciosos, instalar publicidad en el sitio web y en general cualquier acción que desee de forma inadvertida para el administrador. Tu soporte tecnológico puede consultar una solución más técnica el área de avisos del CERTSI.

Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este Checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en esto casos reales:

Mejoramos contigo. Participa en nuestra encuesta

 

REFERENCIAS

https://www.drupal.org/sa-core-2018-003

Descargar de la web de Drupal.