CSIRT Panam\u00e1\nAviso 2020-06-19 Drupal: Vulnerabilidades en Gestor de Cotenidos de Drupal<\/p>\n\n\n\n
Gravedad: Alta<\/p>\n\n\n\n
Vulnerabilidad: CVE-2020-13663\n\/ CVE-2020-13664 \/ CVE-2020-13665<\/p>\n\n\n\n
Fecha de publicaci\u00f3n:\nJunio 19, 2020<\/p>\n\n\n\n
\u00daltima revisi\u00f3n: Junio 19,\n2020<\/p>\n\n\n\n
Portal: https:\/\/www.drupal.org<\/p>\n\n\n\n
Sistemas Afectados: Vulnerabilidades en la plataforma de Drupal que\nafecta a sus productos, desde las versiones Drupal 7.x, 8.x y 9.x. <\/p>\n\n\n\n
Actualizaci\u00f3n de seguridad que afecta a la\nplataforma de Drupal, la nueva versi\u00f3n soluciona tres vulnerabilidades en el\nn\u00facleo de Drupal.<\/p>\n\n\n\n
Vulnerabilidad: CVE-2020-13663<\/p>\n\n\n\n
Debido a que el formulario API de Drupal core no\nvalida correctamente ciertos datos ingresados por un usuario, un atacante\npodr\u00eda explotar la vulnerabilidad de tipo Cross Site Request Forgery (CSRF)\nenviando peticiones a otros servicios desde el formulario, lo cual le\npermitir\u00eda explotar otras vulnerabilidades.<\/p>\n\n\n\n
Vulnerabilidad: CVE-2020-13664<\/p>\n\n\n\n
Un atacante podr\u00eda enga\u00f1ar a un Administrador que\nutilice Windows para que visite un sitio malicioso, lo cual resultar\u00eda en la\ncreaci\u00f3n de un directorio cuidadosamente creado en el sistema de archivos. Con\neste directorio, el atacante podr\u00eda intentar explotar una vulnerabilidad de\nejecuci\u00f3n de c\u00f3digo PHP remoto a trav\u00e9s de fuerza bruta.<\/p>\n\n\n\n
Vulnerabilidad: CVE-2020-13665<\/p>\n\n\n\n
Peticiones JSON:API Patch podr\u00edan evadir\nvalidaciones en ciertos campos permitiendo a un atacante enviar peticiones\nespecialmente dise\u00f1adas para causar una denegaci\u00f3n de servicios en el sistema\nafectado.<\/p>\n\n\n\n
Por defecto JSON:API solo funciona en modo lectura,\npor lo que se tendr\u00eda que modificar \u201cjsonapi.settings\u201d para que la\nvulnerabilidad est\u00e9 presente.<\/p>\n\n\n\n
III. Referencia a soluciones, herramientas e\ninformaci\u00f3n<\/strong><\/strong><\/p>\n\n\n\n Aplicar la actualizaci\u00f3n a las nuevas versiones de\nDrupal mediante los siguientes enlaces. <\/p>\n\n\n\n Enlace: https:\/\/www.drupal.org\/project\/drupal\/releases\/7.72<\/a><\/p>\n\n\n\n Enlace: https:\/\/www.drupal.org\/project\/drupal\/releases\/8.8.8<\/a><\/p>\n\n\n\n Enlace: https:\/\/www.drupal.org\/project\/drupal\/releases\/8.9.1<\/a><\/p>\n\n\n\n Enlace: https:\/\/www.drupal.org\/project\/drupal\/releases\/9.0.1<\/a><\/p>\n\n\n\n Ya no existe soporte para las versiones entre la 8\ny la 8.8.x, por lo que se recomienda actualizar a la versi\u00f3n 8.8.8.<\/p>\n\n\n\n Fuentes:<\/strong><\/p>\n\n\n\n Informaci\u00f3n de contacto<\/strong> CSIRT Panam\u00e1 Aviso 2020-06-19 Drupal: Vulnerabilidades en Gestor de Cotenidos de Drupal Gravedad: Alta Vulnerabilidad: CVE-2020-13663 \/ CVE-2020-13664 \/ CVE-2020-13665 Fecha de publicaci\u00f3n: Junio 19, 2020 \u00daltima revisi\u00f3n: Junio 19, 2020 Portal: https:\/\/www.drupal.org Sistemas Afectados:…<\/p>\n","protected":false},"author":4,"featured_media":941,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[72,10],"class_list":["post-2145","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad","tag-avisos-de-seguridad","tag-drupal"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/2145","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2145"}],"version-history":[{"count":1,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/2145\/revisions"}],"predecessor-version":[{"id":2146,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/2145\/revisions\/2146"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/941"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2145"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2145"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2145"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nCSIRT PANAMA
\nComputer Security Incident Response Team Autoridad Nacional para la Innovacion\nGubernamental
\nE-Mail: info@cert.pa
\nPhone: +507 520-CERT (2378)
\nWeb: https:\/\/cert.pa
\nTwitter: @CSIRTPanama
\nKey ID: 16F2B124<\/p>\n","protected":false},"excerpt":{"rendered":"