CSIRT Panamá Aviso 2016-07-Vulnerabilidades Críticas en Modulos de Drupal

TOPICS:

Posted By: CSIRT Panamá July 13, 2016

CSIRT Panamá Aviso 2016-07-Vulnerabilidades Críticas en Modulos de Drupal
Fecha de publicación: Julio, 2016
Fecha de modificación: Julio, 2016
Última revisión: Revisión A.

Sistemas Afectados

Versión de Drupal: 7.x
Módulos:
RESTful Web Services
Coder
Webform Multiple File Upload

I. Descripción

Drupal ha liberado tres boletínes de seguridad[1] solucionando vulnerabilidades presentes en los modulos: RESTful Web Services[2], Coder[3] y Webform Multiple File Upload[4]. Según la documentación ofrecida por Drupal estos modulos son utilizados por 1000 a 10000 sitios, por lo que sugerimos verificar si estos modulos son utilizados por sus sitios web y aplicar las actualizaciones correspondientes.
La vulnerabilidad en el modulo RESTful Web Services podría permitir a un atacante ejecutar código PHP de manera arbitraria. No existe forma de mitigar esta vulnerabilidad, además esta vulnerabilidad puede ser explotada por usuarios anonimos.
La vulnerabilidad en el modulo Coder, consiste en una deficiencia en la validación de entrada en un script con extensión php. Un usuario malicioso no autenticado, podría realizar peticiones directamente a este archivo y ejecutar código php arbitrario.
La vulnerabilidad en el módulo Web Form Multiple File Upload, trata de una vulnerabilidad de tipo ejecución de código remoto (RCE – Remote Code Execution).
CSIRT Panamá recomienda a los administradores de estos sistemas aplicar las actualizaciones correspondientes.

II. Impacto
Un atacante remoto no autenticado podría ejecutar código remoto de manera arbitaria afectando la disponibilidad, integridad y confidencialidad de un sitio web afectado.

III. Referencia a soluciones, herramientas e información
[1] https://www.drupal.org/psa-2016-001
[2] https://www.drupal.org/node/2765567
[3] https://www.drupal.org/node/2765575
[4] https://www.drupal.org/node/2765573

IV. Información de Contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la
Innovacion Gubernamental
E-Mail:   info@cert.pa
Phone:    +507 520-CERT (2378)
Web:      https://www.cert.pa
Twitter:  @CSIRTPanama
Facebook: http://www.facebook.com/CSIRTPanama
Key ID:   16F2B124