CSIRT Panamá Aviso 2020-05-26 Drupal: Actualizaciones de Múltiples vulnerabilidades que afectan al gestor de contenido DRUPAL.

Gravedad:Media                                                                                                              Vulnerabilidad: SA-CORE-2020-002/ SA-CORE-2020-003                        Fecha de publicación: Mayo 22, 2020
Última revisión: Mayo 22, 2020
Portal: https://www.drupal.org/

Sistemas Afectados:
Vulnerabilidades de seguridad que afectan a todas las versiones anteriores de Drupal 8.8.6, Drupal 8.7.14, Drupal 7.70.

I. Descripción
Actualización de seguridad que afecta al núcleo del gestor de contenidos y que soluciona dos vulnerabilidades.

II. Impacto

Los sitios de Drupal que utilicen versiones anteriores del módulo jQuery 3.5.0, se ven afectadas con vulnerabilidades de tipo XSS (Cross-site scripting) que podrían ser utilizadas por un ciberdelincuente para ejecutar código malicioso.

La segunda afectación detectada es en las versiones anteriores a Drupal 7.70 y podría ser aprovechada con intenciones maliciosas para redirigir a un usuario visitante de la página a una URL externa diferente.

III. Referencia a soluciones, herramientas e información

Actualizar a las versiones correspondientes de Drupal, mediante su sitio web (https://www.drupal.org/project/drupal/releases)

• Drupal 8.8.x actualiza a Drupal 8.8.6. (https://www.drupal.org/project/drupal/releases/8.8.6)
• Drupal 8.7.x actualiza a Drupal 8.7.14. (https://www.drupal.org/project/drupal/releases/8.7.14)
• Drupal 7.x actualiza a Drupal 7.70. (https://www.drupal.org/project/drupal/releases/7.70)

Fuentes:

• Drupal core – Moderately critical – Cross Site Scripting – SA-CORE-2020-002. 20 de mayo del 20202. Drupal.org. Recopilado en: https://www.drupal.org/sa-core-2020-002
• Drupal core – Moderately critical – Open Redirect – SA-CORE-2020-003. 20 de mayo del 20202. Drupal.org.  Recopilado en: https://www.drupal.org/sa-core-2020-003
• Instituto nacional de ciberseguridad (INCIBE). 21 de mayo del 2020. Aviso de seguridad. Recopilado en: https://www.incibe.es/protege-tu-empresa/avisos-seguridad/detectadas-varias-vulnerabilidades-afectan-drupal-actualiza

Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124