CSIRT Panamá Aviso 2022-06-15 Drupal: Múltiples vulnerabilidades en el core de Drupal 9
Gravedad: Media
Fecha de publicación: Junio 13, 2022
Última revisión: Junio 13, 2022
Sitio web: https://www.drupal.org/
Sistemas Afectados:
- Versiones Drupal core 9.2 anteriores a 9.2.21;
- versiones Drupal core 9.3 anteriores a 9.3.16;
- versiones Drupal core 9.4 anteriores a Drupal 9.4.0-rc2;
- todas las versiones de Drupal 9 anteriores a 9.2.x, junto con Drupal 8, están al final de su vida útil (EOL) y no reciben cobertura de seguridad.
- Drupal 7 no está afectado.
I.Descripción
Dos vulnerabilidades, de severidad media, en la librería Guzzle, podrían afectar a algunos proyectos contribuidos o al código personalizado de las webs que usan Drupal.
II.Impacto
Vulnerabilidad CVE-2022-31042:
Fallo en la eliminación de la cabecera ‘cookie’ en el cambio de host o en el downgrade HTTP.
Vulnerabilidad CVE-2022-31043:
Fallo de quitar la cabecera de ‘autorización’ en el downgrade HTTP.
III. Referencia a soluciones, herramientas e información
Actualizar a las versiones correspondientes:
- Drupal 9.2 a la versión 9.2.21; enlace: https://www.drupal.org/project/drupal/releases/9.2.21
- Drupal 9.3 a la versión 9.3.16; enlace: https://www.drupal.org/project/drupal/releases/9.3.16
- Drupal 9.4 a la versión 9.4.0-rc2; enlace: https://www.drupal.org/project/drupal/releases/9.4.0-rc2
Fuentes:
1.Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Múltiples vulnerabilidades en el core de Drupal 9. 13 de junio del 2022. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-el-core-drupal-9-0
- Drupal core – Moderately critical – Third-party libraries – SA-CORE-2022-011. 10 de junio del 2022. Recopilado en:https://www.drupal.org/sa-core-2022-011
Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124