Se descubre otra falla crÃtica en Drupal ¡Actualiza tu sitio lo antes posible!
- Seguridad
- Posted
- ¡Escribe el primer comentario!
- Visto 495 veces
PodrÃa permitir a atacantes remotos piratear un sitio
Los desarrolladores de Drupal, un popular software de sistema de gestión de contenido de código abierto que impulsa a millones de sitios web, han lanzado la última versión de su software para corregir una vulnerabilidad crÃtica que podrÃa permitir a atacantes remotos piratear un sitio.
La actualización se realizó dos dÃas después de que el equipo de seguridad de Drupal publicara una notificación de seguridad anticipada de los parches que se avecinaban, dando a los administradores de sitios web los avisos iniciales para arreglar sus sitios web antes de que los piratas informáticos abusaran de la brecha de seguridad.
La vulnerabilidad en cuestión es una falla crÃtica de ejecución remota de código (RCE) en Drupal Core que podrÃa "conducir en algunos casos a la ejecución de código PHP arbitrario", dijo el equipo de seguridad de Drupal.
Si bien el equipo de Drupal no ha publicado ningún detalle técnico de la vulnerabilidad (CVE-2019-6340), mencionó que la falla reside en el hecho de que algunos tipos de campo no desinfectan los datos de fuentes que no son de forma y afectan al núcleo de Drupal 7 y 8.
También debes tener en cuenta que tu sitio web basado en Drupal solo se ve afectado si el módulo de Servicios web RESTful (rest) está habilitado y permite las solicitudes de PATCH o POST, o si tienes otro módulo de servicios web habilitado.
Si no puedes instalar de inmediato la última actualización, entonces puedes mitigar la vulnerabilidad simplemente deshabilitando todos los módulos de servicios web o configurando tu(s) servidor(es) web para que no permitan las solicitudes PUT/PATCH/POST a los recursos de servicios web.
"Tenga en cuenta que los recursos de servicios web pueden estar disponibles en varias rutas según la configuración de su servidor (s)", advierte Drupal en su aviso de seguridad publicado el miércoles.
"Para Drupal 7, los recursos están, por ejemplo, tÃpicamente disponibles a través de rutas (URLs limpias) y mediante argumentos al argumento de consulta "q". Para Drupal 8, las rutas aún pueden funcionar cuando se prefijan con index.php/".
Sin embargo, considerando la popularidad de las vulnerabilidades de Drupal entre los piratas informáticos, se recomienda encarecidamente instalar la última actualización:
• Si estás utilizando Drupal 8.6.x, actualiza tu sitio web a Drupal 8.6.10.
• Si estás utilizando Drupal 8.5.x o una versión anterior, actualiza tu sitio web a Drupal 8.5.11
Drupal también dijo que el módulo de Servicios de Drupal 7 en sà no requiere una actualización en este momento, pero los usuarios aún deben considerar la aplicación de otras actualizaciones asociadas con la última recomendación si "Servicios" está en uso.
Drupal le ha dado crédito a Samuel Mortenson de su equipo de seguridad por descubrir y reportar la vulnerabilidad.
ArtÃculos relacionados (por etiqueta)
- Investigadores revelan una nueva falla de seguridad que afecta a los drones DJI de China
- Microsoft lanza actualización urgente de Windows para parchear dos fallas crÃticas
- Seguridad web del lado del cliente
- Falla de seguridad no reparable encontrada en chips de Intel
- ¿Por qué dice Google que Chrome es más seguro que Edge?
- Circuitos personalizados harÃan que los sistemas IoT fueran 14.000 veces más difÃciles de descifrar
Lo último de Jesús Cáceres
- Procesadores Intel, ARM, IBM, AMD vulnerables a nuevos ataques de canal lateral
- El gobierno de EE. UU. advierte sobre una nueva cepa del virus chino 'Taidoor'
- Microsoft considera a CCleaner una aplicación potencialmente no deseada
- Nuevo ataque aprovecha HTTP/2 para fugas de canal lateral de temporización remota efectiva
- ¿Por qué desenchufar un dispositivo soluciona muchos problemas?
Deja tus comentarios
- Publicar comentario como invitado. RegÃstrate o ingresaa tu cuenta