CSIRT Panamá Aviso 2021-09-16 Drupal: Múltiples vulnerabilidades en el core de Drupal

TOPICS:

Posted By: CSIRT Panamá September 20, 2021

CSIRT Panamá Aviso 2021-09-16 Drupal: Múltiples vulnerabilidades en el core de Drupal

Gravedad: Media
Fecha de publicación: Septiembre 16, 2021
Última revisión: Septiembre 16, 2021
Sitio web: https://www.drupal.org/
Sistemas Afectados: versiones 9.2, 9.1 y 8.9.

I.Descripción

Las versiones de Drupal 8 anteriores a la 8.9.x y de Drupal 9 anteriores a la 9.1.x, se encuentran al final de su vida útil y ya no reciben cobertura de seguridad.

II. Impacto

Vulnerabilidad: CVE-2020-13673

El filtro del módulo Drupal core Media podría permitir a un atacante sin privilegios inyectar HTML en una página cuando un usuario, con permisos para insertar contenidos multimedia, accede a ella.

Vulnerabilidad: CVE-2020-13674

El módulo QuickEdit no valida correctamente el acceso a rutas, lo que podría permitir explotar una vulnerabilidad cross-site request forgery (SCRF) y así, comprometer la integridad de la información.

Vulnerabilidad: CVE-2020-13675

Una validación incorrecta en la subida de archivos a través de las APIs HTTP de los módulos JSON:API y REST/File, podría permitir a un atacante subir archivos evadiendo el proceso de validación.

Vulnerabilidad: CVE-2020-13676

El módulo QuickEdit no comprueba correctamente el acceso a campos en algunas circunstancias, lo que podría permitir la revelación de información.

Vulnerabilidad: CVE-2020-13677

El módulo JSON:API no restringe el acceso a ciertos contenidos correctamente en determinadas circunstancias.

III. Referencia a soluciones, herramientas e información

Actualizar las versiones de Drupal mediante los siguientes enlaces:

  1. Drupal 9.2, a la versión 9.2.6:
    Enlace: https://www.drupal.org/project/drupal/releases/9.2.6
  2. Drupal 9.1, a la versión 9.1.13:
    Enlace: https://www.drupal.org/project/drupal/releases/9.1.13
  3. Drupal 8.9, a la versión 8.9.19:
    Enlace: https://www.drupal.org/project/drupal/releases/8.9.19

Fuentes:

  1. Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Múltiples vulnerabilidades en el core de Drupal. 16 de septiembre del 2021. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-el-core-drupal-1
  2. Drupal core – Moderately critical – Access Bypass – SA-CORE-2021-010. Recopilado en: https://www.drupal.org/sa-core-2021-010
  3. Drupal core – Moderately critical – Cross Site Request Forgery – SA-CORE-2021-006. Recopilado en: https://www.drupal.org/sa-core-2021-006
  4. Drupal core – Moderately critical – Cross Site Request Forgery – SA-CORE-2021-007. Recopilado en: https://www.drupal.org/sa-core-2021-007
  5. Drupal core – Moderately critical – Access bypass – SA-CORE-2021-008. Recopilado en: https://www.drupal.org/sa-core-2021-008
  6. Drupal core – Moderately critical – Access bypass – SA-CORE-2021-009. Recopilado en: https://www.drupal.org/sa-core-2021-009

Información de contacto

CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa