{"id":272,"date":"2015-04-29T10:27:11","date_gmt":"2015-04-29T15:27:11","guid":{"rendered":"https:\/\/10.252.76.154\/?p=272"},"modified":"2015-09-29T17:06:30","modified_gmt":"2015-09-29T22:06:30","slug":"csirt-panama-aviso-2015-04-multiples-vulnerabilidades-en-drupal","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=272","title":{"rendered":"CSIRT Panam\u00e1 Aviso 2015-04- M\u00faltiples vulnerabilidades en Drupal"},"content":{"rendered":"<p style=\"text-align: justify;\">CSIRT Panam\u00e1 Aviso 2015-04- M\u00faltiples vulnerabilidades en Drupal<br \/>\nGravedad: ALTA<br \/>\nFecha de publicaci\u00f3n: Abril, 2015<br \/>\nFecha de modificaci\u00f3n: Abril, 2015<br \/>\n\u00daltima revisi\u00f3n: Revisi\u00f3n A.<\/p>\n<p style=\"text-align: justify;\">I. Sistemas Afectados<\/p>\n<ul>\n<li style=\"text-align: justify;\">Sistemas Afectados para vulnerabilidad M\u00f3dulo \u201cViews\u201d &#8211; Access Bypass<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Esta vulnerabilidad es \u201cCritica\u201d para los usuarios que hagan uso del m\u00f3dulo \u201cViews\u201d en el siguiente rango de versiones:<\/p>\n<ul>\n<li style=\"text-align: justify;\">M\u00f3dulo Views 7.x-3.x para las versiones desde 7.x-3.5 a 7.x-3.10.<\/li>\n<li style=\"text-align: justify;\">Sistemas Afectados para vulnerabilidad M\u00f3dulo \u201cViews\u201d &#8211; Cross Site Scripting (XSS)<\/li>\n<li style=\"text-align: justify;\">M\u00f3dulo Views 7.x-3.x para las versiones desde 7.x-3.5 a 7.x-3.10.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">II. Descripci\u00f3n<br \/>\nEl m\u00f3dulo \u201cViews\u201d proporciona un m\u00e9todo flexible para los dise\u00f1adores de sitios Drupal que permite controlar como se presentan las listas y tablas de contenido, los usuarios, los t\u00e9rminos de la taxonom\u00eda y otros datos.<br \/>\nDebido a un problema en el mecanismo de almacenamiento en cach\u00e9 es posible que los filtros configurados pierdan su efecto. Esto puede dar lugar a la exposici\u00f3n de contenidos que de otra forma se oculta a los visitantes.<br \/>\nEsta vulnerabilidad es mitigada por el hecho de que no puede ser explotada directamente, sino que se produce cuando se cumplen ciertos requisitos previos.<br \/>\nLos sistemas que utilizan cach\u00e9 backends en memoria como redis \/ memcache son m\u00e1s propensos a ser afectados por esta vulnerabilidad. Esto es debido a la estrategia com\u00fan para el manejo espacio libre en la memoria cach\u00e9.<\/p>\n<p style=\"text-align: justify;\">III. Impacto<br \/>\nVector de acceso: A trav\u00e9s de red \u2013 remoto<br \/>\nComplejidad de Acceso: Baja<br \/>\nAutenticaci\u00f3n: No requerida para explotarla.<br \/>\nTipo de impacto: Compromiso total de la integridad del sistema, Compromiso total de la disponibilidad del sistema, Compromiso total de la confidencialidad del sistema.<\/p>\n<p style=\"text-align: justify;\">IV. Detecci\u00f3n<br \/>\nEs posible identificar la versi\u00f3n de su instalaci\u00f3n de Drupal en el sitio, de forma que le permita conocer si su versi\u00f3n es vulnerable.<br \/>\nhttp:\/\/hackertarget.com\/drupal-security-scan\/<\/p>\n<p style=\"text-align: justify;\">V. Mitigaci\u00f3n<br \/>\nActualizar el Software con la actualizaci\u00f3n Views 7.x-3.11<\/p>\n<p style=\"text-align: justify;\">VI. Informaci\u00f3n Adicional<\/p>\n<ul style=\"text-align: justify;\">\n<li>https:\/\/www.drupal.org\/project\/views<\/li>\n<li>https:\/\/www.drupal.org\/node\/2480327<\/li>\n<li>https:\/\/www.drupal.org\/node\/2480259<\/li>\n<li>http:\/\/007software.net\/views-critical-access-bypass-sa-contrib-2015-103\/<\/li>\n<li>http:\/\/hackertarget.com\/drupal-security-scan\/<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">VII. Informaci\u00f3n de contacto<br \/>\nCSIRT PANAMA<br \/>\nAutoridad Nacional para la Innovaci\u00f3n Gubernamental<br \/>\nE-Mail: info@cert.pa<br \/>\nWeb: https:\/\/www.cert.pa<\/p>\n<p style=\"text-align: justify;\">&#8212;&#8211;BEGIN PGP PUBLIC KEY BLOCK&#8212;&#8211;<br \/>\nVersion: GnuPG v2.0.17 (MingW32)<br \/>\nmQENBE8C9KoBCAClkvrtdD08B1YgIntnK241GmWY7fRWtPn\/QIEG1+TLokEuOhw+<br \/>\nGq\/lK\/4NP9RzqpD57LcRUBiGgTmO\/5C9xkhVmxz2jid0h03fLorC84rAk2pOjr0i<br \/>\npbltETq9RCGhOWp13OV22x2yiIedBi05bzw3F+uLHhn9xKjmpBuZB6WO\/TuD52DH<br \/>\nKRZtwSvoaa61vL0bGnIf3lNGWkALWEC3lGBppby4D05N2FNfgfOFr1yOpxTaRaDh<br \/>\n4kOnoAEWVzppkTPyqSOkwXmgdma8D9yqD41Ffu8ypGTv+OOVO7jDq8tx9wVZEU+w<br \/>\npqBTzQcf0P0K7qO3igdHQxqHmqXsaJpbmvCBABEBAAG0KkNTSVJUIFBhbmFtYSAo<br \/>\nQ1NJUlQgUGFuYW1hKSA8aW5mb0BjZXJ0LnBhPokBOAQTAQIAIgUCTwL0qgIbDwYL<br \/>\nCQgHAwIGFQgCCQoLBBYCAwECHgECF4AACgkQ2YlXchbysSSPSQgAooUy3qSR\/YX2<br \/>\nH3USJ5VzrmnraHg5LIWRPIBD1PGrswjLE8hxdobPU\/uzi9LWnEcDscfFVKM\/K0Jt<br \/>\nbjeoESqCVFlpE0YXJWdDhy0m2WM410sDE2HVXbPhWGqrNeDb0VUV\/LWag1yYTj5w<br \/>\nkkxma4Tk5TqlhgL5su2PpjtTdFSHYD4N+4mu7g1GhRrrpz+u7ZRm3b\/WkAJg5FIg<br \/>\nU0MpPqUGAF5\/pc02ZB10FdxDwWyXAkwYUN+zfLiKzKOrBGkEw9+jvFGU+z76P9Zk<br \/>\n1XJIexpmkBYTxc+TOclhAp\/3HP4taoBHRMoR1q1YhdC++UgRSLmPLGn\/AB707JzN<br \/>\nQ80++q2kWQ==<br \/>\n=JUYg<br \/>\n&#8212;&#8211;END PGP PUBLIC KEY BLOCK&#8212;&#8211;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>CSIRT Panam\u00e1 Aviso 2015-04- M\u00faltiples vulnerabilidades en Drupal Gravedad: ALTA Fecha de publicaci\u00f3n: Abril, 2015 Fecha de modificaci\u00f3n: Abril, 2015 \u00daltima revisi\u00f3n: Revisi\u00f3n A. I. Sistemas Afectados Sistemas Afectados para vulnerabilidad M\u00f3dulo \u201cViews\u201d &#8211; Access&#8230;<\/p>\n","protected":false},"author":4,"featured_media":295,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[8,10],"class_list":["post-272","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad","tag-avisos","tag-drupal"],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/272","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=272"}],"version-history":[{"count":1,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/272\/revisions"}],"predecessor-version":[{"id":273,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/272\/revisions\/273"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/295"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=272"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=272"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=272"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}