CSIRT Panamá Aviso 2020-09-17 Drupal: Vulnerabilidades en Gestor de Cotenidos de Drupal

Gravedad: Alta                                                                                                   

Fecha de publicación: Septiembre 17, 2020
Última revisión: Septiembre 17, 2020
Portal: https://www.drupal.org/

Sistemas Afectados: Diversas afectaciones en el gestor de contenido Drupal en distintas versiones  anteriores a 9.0.6, 8.9.6, 8.8.10, 7.73.

1. Descripción

Mitigación para 5 vulnerabilidades que afectan al core de Drupal, una de severidad alta y el resto medias, de tipos XSS, omisión de autenticación y divulgación de información.

1. Impacto

Vulnerabilidad: CVE-2020-13668

La vulnerabilidad de severidad más alta es de tipo XSS reflejado, y podría permitir que un atacante aprovechara la forma en que se representa HTML para los formularios afectados.

Vulnerabilidades con menor criticidad: CVE-2020-13666, CVE-2020-13667, CVE-2020-13669 y CVE-2020-13670.

III. Referencia a soluciones, herramientas e información

Se recomienda actualizar el gestor de contenido Drupal según cada versión, mediante su sitio oficial:

• Actualizar a la versión 9.0.6, Enlace: https://www.drupal.org/project/drupal/releases/9.0.6
• Actualizar a la versión 8.9.6, Enlace: https://www.drupal.org/project/drupal/releases/8.9.6
• Actualizar a la versión 8.8.10, Enlace: https://www.drupal.org/project/drupal/releases/8.8.10
• Actualizar a la versión 7.73, Enlace: https://www.drupal.org/project/drupal/releases/7.73

Las versiones de Drupal 8 anteriores a 8.8.x están al final de su vida útil y ya no reciben cobertura de seguridad. Los portales en versiones 8.7.x o anterior deberán actualizarse a 8.8.10.

Fuentes:

• Drupal. Moderately critical, Cross-site scripting, SA-CORE-2020-007. Recopilado en: https://www.drupal.org/sa-core-2020-007
• Drupal. Moderately critical, Access bypass, SA-CORE-2020-008. Recopilado en: https://www.drupal.org/sa-core-2020-008
• Drupal. Critical, Cross-site scripting, SA-CORE-2020-009. Recopilado en: https://www.drupal.org/sa-core-2020-009
• Drupal. Moderately critical, Cross-site scripting, SA-CORE-2020-010. Recopilado en: https://www.drupal.org/sa-core-2020-010
• Drupal. Moderately critical, Information disclosure, SA-CORE-2020-011. Recopilado en: https://www.drupal.org/sa-core-2020-011
• Instituto Nacional de Ciberseguridad (INCIBE). 17 de septiembre del 2020. Vulnerabilidades. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidades-el-core-drupal-1

Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124