Clicky

Defecto de Symfony deja a los sitios Drupal vulnerables a los hackers

Drupal Symfony

Es hora de actualizar tus sitios web de Drupal

Drupal, el popular sistema de gestión de contenido de código abierto, ha lanzado una nueva versión de su software para parchear una vulnerabilidad de derivación de seguridad que podría permitir a un atacante remoto tomar el control de los sitios web afectados.

La vulnerabilidad, rastreada como CVE-2018-14773, reside en un componente de una biblioteca de terceros, llamado componente Symfony HttpFoundation, que se está utilizando en Drupal Core y afecta a las versiones de Drupal 8.x anteriores a 8.5.6.

Debido a que Symfony, un framework de aplicaciones web con un conjunto de componentes PHP, está siendo utilizado por muchos proyectos, la vulnerabilidad podría potencialmente poner a muchas aplicaciones web en riesgo de pirateo.

Vulnerabilidad de los componentes de Symfony

Según un aviso publicado por Symfony, la vulnerabilidad de omisión de seguridad se origina debido al soporte de Symfony para encabezados HTTP heredados y arriesgados.

"Soporte para un encabezado (heredado) IIS permite a los usuarios anular la ruta en la URL de solicitud a través del encabezado de solicitud X-Original-URL o X-Rewrite-URL HTTP permite a un usuario acceder a una URL pero Symfony devuelve una diferente que puede eludir las restricciones en cachés de nivel superior y servidores web", dijo Symfony.

Un ataque remoto puede explotarlo con un valor de encabezado HTTP 'X-Original-URL' o 'X-Rewrite-URL' especialmente diseñado, que anula la ruta en la URL de solicitud para evitar potencialmente las restricciones de acceso y hacer que el sistema objetivo represente una URL diferente.

La vulnerabilidad se ha corregido en Symfony versión 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14 y 4.1.3, y Drupal ha parcheado el problema en su última versión 8.5.6.

El mismo defecto existe en Zend Framework

Además de Symfony, el equipo de Drupal descubrió que también existe una vulnerabilidad similar en las bibliotecas Zend Feed y Diactoros incluidas en Drupal Core, a las que denominaron 'vulnerabilidad URL Rewrite'.

Sin embargo, el popular CMS dijo que Drupal Core no usa la funcionalidad vulnerable, pero recomendó a los usuarios que parcheen su sitio web, si su sitio o módulo usa Zend Feed o Diactoros directamente.

Drupal impulsa millones de sitios web y, desafortunadamente, el CMS ha estado recientemente bajo ataques activos desde que se descubrió una vulnerabilidad de ejecución remota de código altamente crítica, llamada Drupalgeddon2.

Por lo tanto, antes de que los piratas informáticos comiencen a explotar el nuevo error para tomar el control de tu sitio web, te recomendamos actualizar tus sitios lo antes posible.

Jesus_Caceres