Drupal soluciona una vulnerabilidad crítica que afectaba al reset de las contraseñas

Share this…

Drupal es uno de los gestores de contenidos más conocidos y recomendados mundialmente, sin embargo no está exento de fallos de seguridad. Drupal ha actualizado su software a las versiones 6.35 y 7.35 después de que se detectaran dos vulnerabilidades críticas que podría permitir a un atacante hackear sitios web basados en Drupal.

La primera de estas dos vulnerabilidades consiste en un fallo de seguridad que se ha detectado en el propio núcleo del software, este fallo podría permitir a un cibercriminal evitar las restricciones de seguridad y acceder a las cuentas de usuario incluyendo la del administrador sin necesidad de conocer la contraseña. Este vulnerabilidad ha sido catalogada como crítica ya que un atacante podría engañar a un usuario registrado enviándole una URL creada con fines malintencionados para tomar el control del servidor de destino.

Drupal soluciona una vulnerabilidad crítica que afectaba al reset de las contraseñas
Drupal soluciona una vulnerabilidad crítica que afectaba al reset de las contraseñas

Tanto Drupal 7 como Drupal 6 están afectados por este fallo, sin embargo en la versión de Drupal 7 sólo se puede realizar si las cuentas tienen el mismo hash de la contraseña en múltiples cuentas de usuario. En Drupal 6 este fallo es más grave, además de estar afectado si el administrador de las webs ha creado varias cuentas de usuario protegidas por la misma contraseña, también lo está si el administrador ha creado usuarios con contraseñas vacías.

La segunda vulnerabilidad encontrada consiste en una redirección abierta, las URL de acción de Drupal contiene un parámetro de destino que podría ser utilizado por un cibercriminal para redirigir a los usuarios a webs de terceros con contenido malicioso. Este fallo afecta tanto a Drupal 6 como a Drupal 7, según el equipo de desarrollo todos los formularios de confirmación o el botón de cancelar permitirían esta redirección abierta.

Recomendaciones para administradores de Drupal

La primera recomendación para solucionar estos problemas es actualizar la versión de Drupal 6 a la 6.35, y la versión de Drupal 7 a la 7.35. Además de esta recomendación básica es necesario que el software Drupal se ejecuta con permisos de usuario no privilegiado, para que en caso de que se vulnere Drupal no afecte al resto del sistema como por ejemplo la base de datos.

Fuente:https://www.redeszone.net/