{"id":3034,"date":"2022-04-22T10:03:02","date_gmt":"2022-04-22T15:03:02","guid":{"rendered":"https:\/\/cert.pa\/?p=3034"},"modified":"2022-04-22T10:03:02","modified_gmt":"2022-04-22T15:03:02","slug":"csirt-panama-aviso-2022-04-22-drupal-multiples-vulnerabilidades-en-el-core-de-drupal-9","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=3034","title":{"rendered":"CSIRT Panam\u00e1 Aviso 2022-04-22 Drupal: M\u00faltiples vulnerabilidades en el core de Drupal 9"},"content":{"rendered":"\n

CSIRT Panam\u00e1 Aviso 2022-04-22 Drupal: M\u00faltiples vulnerabilidades en el core de Drupal 9<\/p>\n\n\n\n

Gravedad: Media
Fecha de publicaci\u00f3n: Abril 22, 2022
\u00daltima revisi\u00f3n: Abril 22, 2022
Sitio web: https:\/\/www.drupal.org\/
Sistemas Afectados: versiones anteriores a la 9.3.12 y 9.2.18.<\/p>\n\n\n\n

Las versiones de Drupal 8 y de Drupal 9, anteriores a la 9.2.x, se encuentran al final de su vida \u00fatil y ya no reciben cobertura de seguridad.<\/p>\n\n\n\n

I.Descripci\u00f3n<\/p>\n\n\n\n

Se han publicado dos vulnerabilidades de severidad media, que podr\u00edan afectar al core de Drupal.<\/p>\n\n\n\n

II.Impacto<\/p>\n\n\n\n

La API de formularios del n\u00facleo de Drupal tiene una vulnerabilidad en la que ciertos formularios de m\u00f3dulos contribuidos o personalizados pueden ser vulnerables a una validaci\u00f3n de entrada inadecuada. Esto podr\u00eda permitir a un atacante inyectar valores no permitidos o sobrescribir datos. Los formularios afectados son poco comunes pero, en ciertos casos, un atacante podr\u00eda alterar datos cr\u00edticos o sensibles.<\/p>\n\n\n\n

Drupal 9.3 implement\u00f3 una API de acceso a entidades gen\u00e9ricas para las revisiones de entidades que no se integr\u00f3 completamente con los permisos existentes, lo que podr\u00eda permitir la derivaci\u00f3n de acceso para los usuarios que pueden utilizar revisiones de contenido, pero que no tienen acceso a elementos individuales de contenido de nodos y medios. Esta vulnerabilidad s\u00f3lo afecta a los sitios que utilizan el sistema de revisi\u00f3n de Drupal.<\/p>\n\n\n\n

III. Referencia a soluciones, herramientas e informaci\u00f3n<\/p>\n\n\n\n

Actualizar a las versiones correspondientes:<\/p>\n\n\n\n

  1. Drupal 9.3 a la versi\u00f3n 9.3.12; enlace: https:\/\/www.drupal.org\/project\/drupal\/releases\/9.3.12<\/li>
  2. Drupal 9.2 a la versi\u00f3n 9.2.18; enlace: https:\/\/www.drupal.org\/project\/drupal\/releases\/9.2.18<\/li><\/ol>\n\n\n\n

    Fuentes:<\/p>\n\n\n\n

    1.Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, M\u00faltiples vulnerabilidades en el core de Drupal 9. 21 de abril del 2022. Recopilado en: https:\/\/www.incibe-cert.es\/alerta-temprana\/avisos-seguridad\/multiples-vulnerabilidades-el-core-drupal-9<\/p>\n\n\n\n

    Informaci\u00f3n de contacto
    CSIRT PANAMA
    Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
    E-Mail: info@cert.pa
    Phone: +507 520-CERT (2378)
    Web: https:\/\/cert.pa
    Twitter: @CSIRTPanama
    Key ID: 16F2B124<\/p>\n","protected":false},"excerpt":{"rendered":"

    CSIRT Panam\u00e1 Aviso 2022-04-22 Drupal: M\u00faltiples vulnerabilidades en el core de Drupal 9 Gravedad: MediaFecha de publicaci\u00f3n: Abril 22, 2022\u00daltima revisi\u00f3n: Abril 22, 2022Sitio web: https:\/\/www.drupal.org\/Sistemas Afectados: versiones anteriores a la 9.3.12 y 9.2.18. Las…<\/p>\n","protected":false},"author":4,"featured_media":941,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[72,10],"class_list":["post-3034","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad","tag-avisos-de-seguridad","tag-drupal"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/3034","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3034"}],"version-history":[{"count":1,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/3034\/revisions"}],"predecessor-version":[{"id":3035,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/3034\/revisions\/3035"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/941"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3034"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3034"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3034"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}