Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Última actualización de Drupal Core

  • Publicado: 21/04/2019
  • Importancia: Alta

Recursos afectados

Se encuentran múltiples vulnerabilidades en el módulo central de Drupal, las cuales permitirían la ejecución de código malicioso.

Drupal es sistema de gestión de contenido modular, multipropósito de código abierto escrito en PHP.   Permite publicar artículos, imágenes, archivos y otros servicios como foros, encuestas, etc.

CVE-2019-10909: Los mensajes de validación no se escapaban cuando se utilizaba el tema del formulario del motor de plantillas PHP que, cuando los mensajes de validación pueden contener entradas del usuario, podrían dar lugar a un XSS.

CVE-2019-10910: Los IDs de servicio derivados de la entrada de usuario no filtrada podrían resultar en la ejecución de cualquier código arbitrario, resultando en una posible ejecución remota de código.

CVE-2019-10911: Esto corrige situaciones en las que parte del tiempo de expiración de una cookie podría considerarse parte del nombre de usuario, o parte del nombre de usuario podría considerarse parte del tiempo de expiración. Un atacante podría modificar la cookie de Recordarme y autenticarse como un usuario diferente. Este ataque sólo es posible si se activa la función Recordar mi contraseña y los dos usuarios comparten un hash de contraseña o los hash de contraseña (por ejemplo, UserInterface::getPassword()) son nulos para todos los usuarios (lo que es válido si las contraseñas son verificadas por un sistema externo, por ejemplo, un SSO)

Productos afectados:

Versiones de Drupal Core anteriores a 7.66, 8.6.15 y 8.5.15

Etiquetas