{"id":3108,"date":"2022-07-25T13:56:17","date_gmt":"2022-07-25T18:56:17","guid":{"rendered":"https:\/\/cert.pa\/?p=3108"},"modified":"2022-07-25T13:56:17","modified_gmt":"2022-07-25T18:56:17","slug":"csirt-panama-aviso-2022-07-25-drupal-multiples-vulnerabilidades-en-el-core-de-drupal-7-y-9","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=3108","title":{"rendered":"CSIRT Panam\u00e1 Aviso 2022-07-25 Drupal: M\u00faltiples vulnerabilidades en el core de Drupal 7 y 9"},"content":{"rendered":"\n

CSIRT Panam\u00e1 Aviso 2022-07-25 Drupal: M\u00faltiples vulnerabilidades en el core de Drupal 7 y 9<\/p>\n\n\n\n

Gravedad: Alta
Fecha de publicaci\u00f3n: Julio 25, 2022
\u00daltima revisi\u00f3n: Julio 25, 2022
Sitio web: https:\/\/www.drupal.org\/
Sistemas Afectados:<\/p>\n\n\n\n

\u2022 Versiones Drupal core 9.4 anteriores a 9.4.3;
\u2022 versiones Drupal core 9.3 anteriores a 9.3.19;
\u2022 versiones Drupal core 7 anteriores a 7.91.
\u2022 todas las versiones de Drupal 9 anteriores a 9.3.x, junto con Drupal 8, est\u00e1n al final de su vida \u00fatil (EOL) y no reciben cobertura de seguridad.<\/p>\n\n\n\n

I. Descripci\u00f3n<\/p>\n\n\n\n

Se han publicado 3 vulnerabilidades de severidad media y 1 alta en los cores de drupal 7 y 9 que podr\u00edan permitir a un atacante la ejecuci\u00f3n de c\u00f3digo PHP arbitrario, divulgaci\u00f3n de informaci\u00f3n, omisi\u00f3n de acceso, realizar ataques cross-site scripting o el filtrado de cookies.<\/p>\n\n\n\n

II. Impacto<\/p>\n\n\n\n

Vulnerabilidad CVE-2022-25277:<\/p>\n\n\n\n

El n\u00facleo de Drupal limpia o sanitiza los nombres de archivo con extensiones peligrosas al subirlos y elimina los puntos iniciales y finales de los nombres de archivo, para evitar que se suban archivos de configuraci\u00f3n del servidor.<\/p>\n\n\n\n

Sin embargo, estas protecciones no funcionaban correctamente juntas, por lo que, si el sitio estaba configurado para permitir la carga de archivos con una extensi\u00f3n htaccess, los nombres de estos archivos no eran corregidos. Esto podr\u00eda permitir a un atacante evitar las protecciones proporcionadas por los archivos .htaccess por defecto del n\u00facleo de Drupal y la ejecuci\u00f3n remota de c\u00f3digo en servidores web Apache.<\/p>\n\n\n\n

Vulnerabilidad CVE-2022-25275:<\/p>\n\n\n\n

En algunas situaciones, el m\u00f3dulo ‘imagen’ no comprueba correctamente el acceso a los archivos de imagen no almacenados en el directorio de archivos p\u00fablicos est\u00e1ndar cuando se generan im\u00e1genes derivadas utilizando el sistema de estilos de imagen, lo que podr\u00eda permitir la divulgaci\u00f3n de informaci\u00f3n.<\/p>\n\n\n\n

Para el resto de las vulnerabilidades de severidad media, que afectan al core de Drupal 9, se han asignado los identificadores CVE-2022-25278 y CVE-2022-25276.<\/p>\n\n\n\n

III. Referencia a soluciones, herramientas e informaci\u00f3n<\/p>\n\n\n\n

Actualizar a las versiones 9.4.3, 9.3.19 o 7.91, respectivamente. Mediante el sitio: https:\/\/www.drupal.org\/project\/drupal\/releases<\/p>\n\n\n\n

Fuentes:<\/p>\n\n\n\n

  1. Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, M\u00faltiples vulnerabilidades en el core de Drupal 7 y 9. 21 de julio del 2022. Recopilado en: https:\/\/www.incibe-cert.es\/alerta-temprana\/avisos-seguridad\/multiples-vulnerabilidades-el-core-drupal-7-y-9<\/li><\/ol>\n\n\n\n

    Informaci\u00f3n de contacto<\/p>\n\n\n\n

    CSIRT PANAMA
    Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
    E-Mail: info@cert.pa
    Phone: +507 520-CERT (2378)
    Web: https:\/\/cert.pa
    Twitter: @CSIRTPanama
    Key ID: 16F2B124<\/p>\n","protected":false},"excerpt":{"rendered":"

    CSIRT Panam\u00e1 Aviso 2022-07-25 Drupal: M\u00faltiples vulnerabilidades en el core de Drupal 7 y 9 Gravedad: AltaFecha de publicaci\u00f3n: Julio 25, 2022\u00daltima revisi\u00f3n: Julio 25, 2022Sitio web: https:\/\/www.drupal.org\/Sistemas Afectados: \u2022 Versiones Drupal core 9.4 anteriores…<\/p>\n","protected":false},"author":4,"featured_media":941,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[8,72,10,68],"class_list":["post-3108","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad","tag-avisos","tag-avisos-de-seguridad","tag-drupal","tag-vulnerabilidades"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/3108","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3108"}],"version-history":[{"count":1,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/3108\/revisions"}],"predecessor-version":[{"id":3109,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/3108\/revisions\/3109"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/941"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3108"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3108"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3108"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}