CSIRT Panamá Aviso 2022-02-22 Drupal: Múltiples vulnerabilidades en el core de Drupal

TOPICS:

Posted By: CSIRT Panamá February 23, 2022

CSIRT Panamá Aviso 2022-02-22 Drupal: Múltiples vulnerabilidades en el core de Drupal

Gravedad: Media
Fecha de publicación: Febrero 22, 2022
Última revisión: Febrero 22, 2022
Sitio web: https://www.drupal.org/
Sistemas Afectados: Drupal, versiones anteriores a la 9.3.6, 9.2.13 y 7.88.

Las versiones de Drupal 8 y de Drupal 9, anteriores a la 9.2.x, se encuentran al final de su vida útil y ya no reciben cobertura de seguridad.

I. Descripción
Drupal ha publicado una actualización que corrige 2 vulnerabilidades severidad media.

II. Impacto

Vulnerabilidad: CVE-2022-25271

La validación inadecuada de los datos de entrada en la API de formularios del core de Drupal podría permitir a un atacante inyectar valores no permitidos o sobrescribir datos. Los formularios afectados son poco comunes, pero en ciertos casos un atacante podría alterar datos críticos o sensibles.

Vulnerabilidad: CVE-2022-25270

El módulo Quick Edit no comprueba correctamente el acceso a las entidades en algunas circunstancias. Esto podría dar lugar a que los usuarios con el permiso de ‘acceso a la edición en sitio’ vean algún contenido al que no están autorizados.

III. Referencia a soluciones, herramientas e información

Aplicar los parches correspondientes según los productos afectados, desde el sitio oficial de Drupal.

•Drupal 9.3, a la versión 9.3.6;
Enlace: https://www.drupal.org/project/drupal/releases/9.3.6

•Drupal 9.2, a la versión 9.2.13;
Enlace: https://www.drupal.org/project/drupal/releases/9.2.13

•Drupal 7, a la versión 7.88.
Enlace: https://www.drupal.org/project/drupal/releases/7.88

Fuentes:

  1. Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Múltiples vulnerabilidades en el core de Drupal. 17 de febrero del 2022. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-el-core-drupal-3
  2. Drupal core – Moderately critical – Improper input validation – SA-CORE-2022-003. 16 de febrero del 2022. Recopilado en: https://www.drupal.org/sa-core-2022-00
  3. Drupal core – Moderately critical – Information disclosure – SA-CORE-2022-004. 16 de febrero del 2022. Recopilado en: https://www.drupal.org/sa-core-2022-004

Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124