Las nuevas versiones del popular sistema de gestión de contenidos de código abierto, Drupal, están liberadas y corrigen una serie de vulnerabilidades, entre ellas una crítica que puede dar lugar a que un atacante tome control sobre la cuentas de administrador.
“Se encontró una vulnerabilidad en el modulo OpenID que permite a un usuario malicioso iniciar sesión como un usuario del sitio, incluyendo uno administrador, y secuestrar sus cuentas”, explicó el equipo de seguridad de Drupal en un aviso.
“Esta vulnerabilidad (CVE-2015-3234) es mitigada debido a que la víctima debe contar con una identidad OpenID asociada con un determinado conjunto de proveedores de OpenID (incluyendo, pero no limitado a Verisign, LiveJournal o StackExchange).”
Las otras tres fallas son menos críticas, lo suficientemente serias si el atacante puede explotarlas, pero la explotación es difícil debido a ciertos factores de mitigación.
Por ejemplo, CVE-2015-3232 es una falla en el módulo Field UI que permite a usuarios maliciosos, bajo ciertas circunstancias, usar la consulta del parámetro “destinos” para construir una URL para engañar a los usuarios y que sean redirigidos a un sitio web de terceros potencialmente malicioso. Este ataque puede solamente ser ejecutado en sitios donde el módulo Field UI está habilitado.
Fuente:https://www.seguridad.unam.mx/
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
