Sitios de Drupal vulnerables a los hackers por fallo de Symfony

Share this…

Se recomienda instalar los parches de seguridad a la brevedad

Drupal, el popular sistema de gestión de contenido de código abierto, ha lanzado una nueva versión de su software para arreglar una vulnerabilidad de derivación de seguridad que podría permitir a un hacker tomar de manera remota el control de los sitios web afectados, acorde a reportes de especialistas en seguridad en redes informáticas del Instituto Internacional de Seguridad Cibernética.

La vulnerabilidad, rastreada como CVE-2018-14773, reside en un componente de una biblioteca de terceros, llamado componente Symfony HttpFoundation, que se está utilizando en Drupal Core y afecta a las versiones de Drupal 8.x anteriores a 8.5.6.

Debido a que Symfony, un marco de aplicaciones web con un conjunto de componentes PHP, está siendo utilizado por muchos proyectos, la vulnerabilidad podría potencialmente poner a muchas aplicaciones web en riesgo de hacking.

Vulnerabilidad de los componentes de Symfony

Según un aviso publicado por Symfony, la vulnerabilidad de omisión de seguridad se origina debido al soporte de Symfony para encabezados HTTP riesgosos.

Un ataque remoto puede explotar la vulnerabilidad con un valor de encabezado HTTP ‘X-Original-URL’ o ‘X-Rewrite-URL’ especialmente diseñado, que anula la ruta en la URL de solicitud para evitar potencialmente las restricciones de acceso y hacer que el sistema objetivo represente una URL diferente.

La vulnerabilidad ya ha sido corregida en las versiones de Symfony 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14 y 4.1.3, y Drupal ha corregido el problema en su última versión 8.5.6.

La misma falla existe en Zend

Además de Symfony, equipos de especialistas en seguridad en redes informáticas de Drupal descubrieron que también existe una vulnerabilidad similar en las bibliotecas Zend Feed y Diactoros incluidas en Drupal Core, a las que denominaron “vulnerabilidad de reescritura de URL”.

Sin embargo, el popular sistema de gestión de contenidos mebncionó que Drupal Core no usa la funcionalidad vulnerable, pero recomendó a los usuarios que parcheen su sitio web, si su sitio o módulo usa Zend Feed o Diactoros directamente.

Drupal trabaja en millones de sitios web y, desafortunadamente, el sistema de gestión de contenidos ha estado recientemente bajo ataques desde que se descubrió una vulnerabilidad de ejecución remota de código altamente crítica, conocida como Drupalgeddon2.

Por lo tanto, antes de que los hackers comenzaran a explotar el nuevo error para tomar el control de su sitio web, especialistas de seguridad en redes informáticas recomiendan actualizar sus sitios lo más pronto posible.