Gravedad: Alta
Fecha de publicación: 27 noviembre 2020
Portal: https://www.drupal.org/
Sistemas Afectados: Drupal.
Vulnerabilidad: CVE-2020-28948, CVE-2020-28949
Descripción
El proyecto Drupal utiliza la biblioteca PEAR Archive_Tar. La biblioteca PEAR Archive_Tar ha publicado una actualización de seguridad que afecta a Drupal.
Donde múltiples vulnerabilidades son posibles si Drupal está configurado para permitir la carga y proceso de los archivos .tar, .gz, .bz2 ,.tlz,
III. Referencia a soluciones, herramientas e información
Para mitigar este problema, evite que los usuarios que no son de confianza carguen archivos: .tar .gz .bz2 .tlz
Se recomienda actualizar el gestor de contenido Drupal según cada versión, mediante su sitio oficial:
• Si está utilizando Drupal 9.0, actualice a Drupal 9.0.9
• Si está utilizando Drupal 8.9, actualice a Drupal 8.9.10
• Si está utilizando Drupal 8.8 o anterior, actualice a Drupal 8.8.12
• Si está utilizando Drupal 7, actualice a Drupal 7.75
Las versiones de Drupal 8 anteriores a 8.8.x están al final de su vida útil y no reciben cobertura de seguridad.
Fuentes:
https://www.drupal.org/sa-core-2020-013
Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124