Actualización de Drupal repara error que permitía secuestrar cuenta de administrador

Share this…

Las nuevas versiones del popular sistema de gestión de contenidos de código abierto, Drupal, están liberadas y corrigen una serie de vulnerabilidades, entre ellas una crítica que puede dar lugar a que un atacante tome control sobre la cuentas de administrador.

“Se encontró una vulnerabilidad en el modulo OpenID que permite a un usuario malicioso iniciar sesión como un usuario del sitio, incluyendo uno administrador, y secuestrar sus cuentas”, explicó el equipo de seguridad de Drupal en un aviso.

“Esta vulnerabilidad (CVE-2015-3234) es mitigada debido a que la víctima debe contar con una identidad OpenID asociada con un determinado conjunto de proveedores de OpenID (incluyendo, pero no limitado a Verisign, LiveJournal o StackExchange).”

Actualización de Drupal repara error que permitía secuestrar cuenta de administrador
Actualización de Drupal repara error que permitía secuestrar cuenta de administrador

Las otras tres fallas son menos críticas, lo suficientemente serias si el atacante puede explotarlas, pero la explotación es difícil debido a ciertos factores de mitigación.

Por ejemplo, CVE-2015-3232 es una falla en el módulo Field UI que permite a usuarios maliciosos, bajo ciertas circunstancias, usar la consulta del parámetro “destinos” para construir una URL para engañar a los usuarios y que sean redirigidos a un sitio web de terceros potencialmente malicioso. Este ataque puede solamente ser ejecutado en sitios donde el módulo Field UI está habilitado.

Fuente:https://www.seguridad.unam.mx/