Gravedad: Alta
Fecha de publicación: Julio 18, 2019
Fecha de modificación: Julio 18, 2019
Última revisión: Revisión A.
Fuente: Drupal Security Advisories
Sistemas Afectados
Equipos con Drupal Versión 8.7.4.
I. Descripción
Se ha descubierto una vulnerabilidad en Drupal 8.7.4, cuando el módulo experimental de espacios de trabajo está habilitado, se crea una condición de omisión de acceso.
Esto se puede mitigar deshabilitando el módulo de Workspaces, solo de Drupal 8.7.4.
Drupal 8.7.3 y versiones anteriores, Drupal 8.6.xy versiones anteriores, y Drupal 7.x no se ven afectados.
II. Impacto
Complejidad de Acceso: Alta
III. Solución
Actualizar a la versión 8.7.5, si el sitio web está ejecutando Drupal 8.7.4, en el sitio oficial de Drupal (https://www.drupal.org/project/drupal/releases/8.7.5).
Para sitios web con el módulo Workspaces habilitado, el archivo update.php debe ejecutarse para garantizar la necesaria limpieza de la caché. Si hay una caché de proxy inverso o una red de distribución de contenidos (CDN), también es aconsejable realizar la limpieza de caché en ellos.
IV. Referencia a soluciones, herramientas e información
• Drupal Security Advisories, 17 de Julio del 2019. Recopilado en: https://www.drupal.org/sa-core-2019-008
• INCIBE-CERT, 18 de Julio del 2019. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidad-omision-acceso-el-core-drupal
V. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Web: http://www.cert.pa