CSIRT Panam\u00e1 Aviso 2021-25-01 Drupal: Mitigaciones obtenidas\nde Drupal.<\/p>\n\n\n\n
Gravedad: Alta <\/p>\n\n\n\n
Fecha de publicaci\u00f3n: Enero 25,\n2021
\n\u00daltima revisi\u00f3n: Enero 25, 2021
\nPortal: https:\/\/www.drupal.org\/ <\/p>\n\n\n\n
Sistemas Afectados: Vulnerabilidades que afectan a los\nsistemas Drupal que usan librer\u00edas de Archive_Tar.<\/p>\n\n\n\n
Vulnerabilidades que afectan a los sistemas Drupal\nque usan Archive_Tar, en las versiones de la 0.3 a la 1.4.11.<\/p>\n\n\n\n
Vulnerabilidad: CVE-2020-36193<\/p>\n\n\n\n
La vulnerabilidad CVE-2020-36193 existe debido a un\nenlace simb\u00f3lico con problemas para acceder al archivo tar.php en Archive_Tar,\nun atacante remoto podr\u00eda entregar un archivo especialmente dise\u00f1ado a la\naplicaci\u00f3n Drupal para forzarla a escribir archivos arbitrarios en el sistema\nutilizando secuencias de directorio transversal.<\/p>\n\n\n\n
III. Referencia a soluciones, herramientas e\ninformaci\u00f3n<\/strong><\/strong><\/p>\n\n\n\n Actualizaci\u00f3n de los recursos Drupal el siguiente\nenlace: <\/p>\n\n\n\n Las versiones de Drupal 8 anteriores a la 8.9.x\nest\u00e1n al final de su vida \u00fatil (end-of-life) y no reciben cobertura de\nseguridad.<\/p>\n\n\n\n Inhabilitar cargas de tar, .tar.gz, .bz2, or .tlz archivos\npara mitigar la vulnerabilidad.<\/p>\n\n\n\n Fuentes:<\/strong><\/p>\n\n\n\n