CSIRT Panamá Aviso 2022-02-22 Drupal: Múltiples vulnerabilidades en el core de Drupal
Gravedad: Media
Fecha de publicación: Febrero 22, 2022
Última revisión: Febrero 22, 2022
Sitio web: https://www.drupal.org/
Sistemas Afectados: Drupal, versiones anteriores a la 9.3.6, 9.2.13 y 7.88.
Las versiones de Drupal 8 y de Drupal 9, anteriores a la 9.2.x, se encuentran al final de su vida útil y ya no reciben cobertura de seguridad.
I. Descripción
Drupal ha publicado una actualización que corrige 2 vulnerabilidades severidad media.
II. Impacto
Vulnerabilidad: CVE-2022-25271
La validación inadecuada de los datos de entrada en la API de formularios del core de Drupal podría permitir a un atacante inyectar valores no permitidos o sobrescribir datos. Los formularios afectados son poco comunes, pero en ciertos casos un atacante podría alterar datos críticos o sensibles.
Vulnerabilidad: CVE-2022-25270
El módulo Quick Edit no comprueba correctamente el acceso a las entidades en algunas circunstancias. Esto podría dar lugar a que los usuarios con el permiso de ‘acceso a la edición en sitio’ vean algún contenido al que no están autorizados.
III. Referencia a soluciones, herramientas e información
Aplicar los parches correspondientes según los productos afectados, desde el sitio oficial de Drupal.
•Drupal 9.3, a la versión 9.3.6;
Enlace: https://www.drupal.org/project/drupal/releases/9.3.6
•Drupal 9.2, a la versión 9.2.13;
Enlace: https://www.drupal.org/project/drupal/releases/9.2.13
•Drupal 7, a la versión 7.88.
Enlace: https://www.drupal.org/project/drupal/releases/7.88
Fuentes:
- Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Múltiples vulnerabilidades en el core de Drupal. 17 de febrero del 2022. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-el-core-drupal-3
- Drupal core – Moderately critical – Improper input validation – SA-CORE-2022-003. 16 de febrero del 2022. Recopilado en: https://www.drupal.org/sa-core-2022-00
- Drupal core – Moderately critical – Information disclosure – SA-CORE-2022-004. 16 de febrero del 2022. Recopilado en: https://www.drupal.org/sa-core-2022-004
Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124