CSIRT Panamá Aviso 2020-06-19 Drupal: Vulnerabilidades en Gestor de Cotenidos de Drupal

CSIRT Panamá Aviso 2020-06-19 Drupal: Vulnerabilidades en Gestor de Cotenidos de Drupal

Gravedad: Alta

Vulnerabilidad: CVE-2020-13663 / CVE-2020-13664 / CVE-2020-13665

Fecha de publicación: Junio 19, 2020

Última revisión: Junio 19, 2020

Portal: https://www.drupal.org

Sistemas Afectados: Vulnerabilidades en la plataforma de Drupal que afecta a sus productos, desde las versiones Drupal 7.x, 8.x y 9.x.

1. Descripción
   
   

Actualización de seguridad que afecta a la plataforma de Drupal, la nueva versión soluciona tres vulnerabilidades en el núcleo de Drupal.

1. Impacto

Vulnerabilidad: CVE-2020-13663

Debido a que el formulario API de Drupal core no valida correctamente ciertos datos ingresados por un usuario, un atacante podría explotar la vulnerabilidad de tipo Cross Site Request Forgery (CSRF) enviando peticiones a otros servicios desde el formulario, lo cual le permitiría explotar otras vulnerabilidades.

Vulnerabilidad: CVE-2020-13664

Un atacante podría engañar a un Administrador que utilice Windows para que visite un sitio malicioso, lo cual resultaría en la creación de un directorio cuidadosamente creado en el sistema de archivos. Con este directorio, el atacante podría intentar explotar una vulnerabilidad de ejecución de código PHP remoto a través de fuerza bruta.

Vulnerabilidad: CVE-2020-13665

Peticiones JSON:API Patch podrían evadir validaciones en ciertos campos permitiendo a un atacante enviar peticiones especialmente diseñadas para causar una denegación de servicios en el sistema afectado.

Por defecto JSON:API solo funciona en modo lectura, por lo que se tendría que modificar “jsonapi.settings” para que la vulnerabilidad esté presente.

III. Referencia a soluciones, herramientas e información

Aplicar la actualización a las nuevas versiones de Drupal mediante los siguientes enlaces.  

• Para la versión 7.x, actualizar a la 7.72.

Enlace: https://www.drupal.org/project/drupal/releases/7.72

• Para la versión 8.8.x, actualizar a la versión 8.8.8.

Enlace: https://www.drupal.org/project/drupal/releases/8.8.8

• Para la versión 8.9.x, actualizar a la versión 8.9.1.

Enlace: https://www.drupal.org/project/drupal/releases/8.9.1

• Para la versión 9.0.x, actualizar a la versión 9.0.1.

Enlace: https://www.drupal.org/project/drupal/releases/9.0.1

Ya no existe soporte para las versiones entre la 8 y la 8.8.x, por lo que se recomienda actualizar a la versión 8.8.8.

Fuentes:

• Instituto Nacional de Ciberseguridad (INCIBE). 18 de junio del 2020. Vulnerabilidades. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidades-el-core-drupal-0
• Drupal core – Critical – Cross Site Request Forgery – SA-CORE-2020-004. 17 de junio del 2020. Recopilado en: https://www.drupal.org/sa-core-2020-004
• Drupal core – Critical – Arbitrary PHP code execution – SA-CORE-2020-005. 17 de junio del 2020. Recopilado en: https://www.drupal.org/sa-core-2020-005
• Drupal core – Less critical – Access bypass – SA-CORE-2020-006. 17 de junio del 2020. Recopilado en: https://www.drupal.org/sa-core-2020-006
• CSIRT Chile. 18 de junio del 2020. Vulnerabilidades. Recopilado en: https://www.csirt.gob.cl/vulnerabilidades/9vsa20-00247-01/

Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124