CSIRT Panamá Aviso 2022-07-25 Drupal: Múltiples vulnerabilidades en el core de Drupal 7 y 9
Gravedad: Alta
Fecha de publicación: Julio 25, 2022
Última revisión: Julio 25, 2022
Sitio web: https://www.drupal.org/
Sistemas Afectados:
• Versiones Drupal core 9.4 anteriores a 9.4.3;
• versiones Drupal core 9.3 anteriores a 9.3.19;
• versiones Drupal core 7 anteriores a 7.91.
• todas las versiones de Drupal 9 anteriores a 9.3.x, junto con Drupal 8, están al final de su vida útil (EOL) y no reciben cobertura de seguridad.
I. Descripción
Se han publicado 3 vulnerabilidades de severidad media y 1 alta en los cores de drupal 7 y 9 que podrían permitir a un atacante la ejecución de código PHP arbitrario, divulgación de información, omisión de acceso, realizar ataques cross-site scripting o el filtrado de cookies.
II. Impacto
Vulnerabilidad CVE-2022-25277:
El núcleo de Drupal limpia o sanitiza los nombres de archivo con extensiones peligrosas al subirlos y elimina los puntos iniciales y finales de los nombres de archivo, para evitar que se suban archivos de configuración del servidor.
Sin embargo, estas protecciones no funcionaban correctamente juntas, por lo que, si el sitio estaba configurado para permitir la carga de archivos con una extensión htaccess, los nombres de estos archivos no eran corregidos. Esto podría permitir a un atacante evitar las protecciones proporcionadas por los archivos .htaccess por defecto del núcleo de Drupal y la ejecución remota de código en servidores web Apache.
Vulnerabilidad CVE-2022-25275:
En algunas situaciones, el módulo ‘imagen’ no comprueba correctamente el acceso a los archivos de imagen no almacenados en el directorio de archivos públicos estándar cuando se generan imágenes derivadas utilizando el sistema de estilos de imagen, lo que podría permitir la divulgación de información.
Para el resto de las vulnerabilidades de severidad media, que afectan al core de Drupal 9, se han asignado los identificadores CVE-2022-25278 y CVE-2022-25276.
III. Referencia a soluciones, herramientas e información
Actualizar a las versiones 9.4.3, 9.3.19 o 7.91, respectivamente. Mediante el sitio: https://www.drupal.org/project/drupal/releases
Fuentes:
- Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Múltiples vulnerabilidades en el core de Drupal 7 y 9. 21 de julio del 2022. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-el-core-drupal-7-y-9
Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124