CSIRT Panamá Aviso 2022-05-31 Drupal: Vulnerabilidad en el core de Drupal

Posted By: CSIRT Panamá May 31, 2022

CSIRT Panamá Aviso 2022-05-31 Drupal: Vulnerabilidad en el core de Drupal

Gravedad: Media
Fecha de publicación: Mayo 31, 2022
Última revisión: Mayo 31, 2022
Sitio web: https://www.drupal.org/
Sistemas Afectados:

  1. Versiones Drupal core 9.3 anteriores a 9.3.14.
  2. Versiones Drupal core 9.4 anteriores a 9.2.20.
  3. Todas las versiones de Drupal 9 anteriores a 9.2.x, junto con Drupal 8, están al final de su vida útil (EOL) y no reciben cobertura de seguridad.
  4. Drupal 7 no está afectado.

I.Descripción

Dezso BICZÓ y mayela han reportado una vulnerabilidad de severidad media en la librería Guzzle, que podría afectar a algunos proyectos contribuidos o al código personalizado de las webs que usan Drupal.

II.Impacto

Vulnerabilidad: CVE-2022-29248

Drupal utiliza la librería externa Guzzle para gestionar las solicitudes y respuestas HTTP a los servicios externos. La vulnerabilidad en Guzzle consiste en que no se comprueba si el dominio de la cookie es igual al dominio del servidor que establece la cookie a través de la cabecera Set-Cookie, lo que podría permitir a un servidor malicioso establecer cookies para dominios no relacionados.

III. Referencia a soluciones, herramientas e información

Actualizar a las versiones correspondientes:

  1. Drupal 9.3 a la versión 9.3.14; enlace: https://www.drupal.org/project/drupal/releases/9.3.14
  2. Drupal 9.2 a la versión 9.2.20; enlace: https://www.drupal.org/project/drupal/releases/9.2.20

Fuentes:

  1. Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Vulnerabilidad en el core de Drupal. 26 de mayo del 2022. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidad-el-core-drupal-4
  2. Drupal. Security advisories, Drupal core – Moderately critical – Third-party libraries – SA-CORE-2022-010. 25 de mayo del 2022. Recopilado en: https://www.drupal.org/sa-core-2022-010
  3. GitHub. Cross-domain cookie leakage. 26 de mayo del 2022. Recopilado en: https://github.com/guzzle/guzzle/security/advisories/GHSA-cwmx-hcrq-mhc3

Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124