Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en el core de Drupal

Fecha de publicación 21/11/2024
Identificador
INCIBE-2024-0576
Importancia
4 - Alta
Recursos Afectados

Versiones del core de Drupal:

  • 7 con el módulo Overlay habilitado;
  • 8.0.0 y superiores hasta la anterior a 10.2.11;
  • 10.3.0 y superiores hasta la anterior a 10.3.9;
  • 11.0.0 y superiores hasta la anterior a 11.0.8.
Descripción

Varios investigadores del equipo de seguridad de Drupal han reportado 6 vulnerabilidades que afectan al core, siendo 1 de severidad alta, 4 medias y 1 baja. La explotación de estas vulnerabilidades podría permitir a un atacante realizar Cross Site Scripting (XSS), comprometer la integridad de la información, borrar archivos arbitrarios y ejecutar código remoto.

Solución

Actualizar Drupal a las siguientes versiones:

Las siguientes versiones han alcanzado el final de su vida útil (EoL) y no reciben actualizaciones de seguridad:

  • anteriores a 10.2;
  • 9;
  • 8.

El módulo Overlay se eliminó en Drupal 8.

Detalle

La vulnerabilidad de severidad alta afecta al módulo Overlay incluido en el core de Drupal 7, debido a un fallo en la gestión de los datos de entrada del usuario, lo que podría dar lugar a un ataque XSS reflejado bajo determinadas circunstancias.

La información del resto de vulnerabilidades puede consultarse en las referencias.

Listado de referencias
Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2024-003
Drupal core - Moderately critical - Access bypass - SA-CORE-2024-004
Drupal core - Critical - Cross Site Scripting - SA-CORE-2024-005
Drupal core - Less critical - Gadget chain - SA-CORE-2024-006
Drupal core - Moderately critical - Gadget chain - SA-CORE-2024-007
Drupal core - Moderately critical - Gadget chain - SA-CORE-2024-008
Etiquetas