Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad de ejecución remota de código en el core de Drupal

Fecha de publicación 21/02/2019
Importancia
5 - Crítica
Recursos Afectados
  • Módulos contribuidos de Drupal 7.x
  • Drupal 8.x
Descripción

El equipo de seguridad de Drupal ha detectado una vulnerabilidad de severidad crítica en el core, que podría permitir a un atacante remoto comprometer un sitio web basado en Drupal.

Solución

Drupal recomienda actualizar en función de la versión que se disponga.

Versiones de Drupal 8 anteriores a 8.5.x son end-of-life y no recibirán cobertura de seguridad.

Detalle
  • Esta vulnerabilidad permite que algunos tipos de campo no validen correctamente los datos de fuentes que no son formularios, lo que puede llevar a la ejecución arbitraria de código PHP en algunos casos. Se ha reservado el identificador CVE-2019-6340 para esta vulnerabilidad.

Encuesta valoración