CSIRT Panamá Aviso 2018-04-25 Vulnerabilidad en sistemas Drupal-Ejecución de código remoto.
Gravedad: Crítica
Fecha de publicación: 25 abril 2018
Fecha de modificación: 25 abril 2018
Última revisión: Revisión A.
Fuente: www.drupal.org
Sistemas Afectados
Drupal 8, Drupal 7 y posterior.
I. Descripción
El equipo de seguridad del núcleo de Drupal descubrió una vulnerabilidad ejecutable por medio de un código remoto, a cual permite explotar múltiples vectores de ataque en un sitio que use Drupal lo cual puede resultar en dicho sitio siendo comprometido. Esta vulnerabilidad está relacionada a la versión anterior revelada en Marzo del 2018.
II. Mitigación
•Si está utilizando Drupal 7.x se sugiere actualizar a Drupal 7.59
https://www.drupal.org/project/drupal/releases/7.59
• SI está uilizando Drupal 8.4.x se sugiere actualizar a Drupal 8.4.8
https://www.drupal.org/project/drupal/releases/8.4.8
(La versión 8.4.x no cuenta normalmente con soporte ni con actualizaciones de seguridad. En este caso se permite actualizar a la versión 8.4.8 para después actualizar a la 8.5.3 o la versión más segura. )
•Si está utilizando Drupal 8.5.x se sugiere actualizar a Drupal 8.5.3
https://www.drupal.org/project/drupal/releases/8.5.3
II. Referencia a soluciones, herramientas e información
Versión anterior de la vulneravilidad: https://www.drupal.org/sa-core-2018-002
https://www.drupal.org/sa-core-2018-004
https://thehackernews.com/2018/04/drupal-vulnerability-exploit.html
III. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Web: http://www.cert.pa