Drupal es uno de los gestores de contenidos más conocidos y recomendados mundialmente, sin embargo no está exento de fallos de seguridad. Drupal ha actualizado su software a las versiones 6.35 y 7.35 después de que se detectaran dos vulnerabilidades críticas que podría permitir a un atacante hackear sitios web basados en Drupal.
La primera de estas dos vulnerabilidades consiste en un fallo de seguridad que se ha detectado en el propio núcleo del software, este fallo podría permitir a un cibercriminal evitar las restricciones de seguridad y acceder a las cuentas de usuario incluyendo la del administrador sin necesidad de conocer la contraseña. Este vulnerabilidad ha sido catalogada como crítica ya que un atacante podría engañar a un usuario registrado enviándole una URL creada con fines malintencionados para tomar el control del servidor de destino.
Tanto Drupal 7 como Drupal 6 están afectados por este fallo, sin embargo en la versión de Drupal 7 sólo se puede realizar si las cuentas tienen el mismo hash de la contraseña en múltiples cuentas de usuario. En Drupal 6 este fallo es más grave, además de estar afectado si el administrador de las webs ha creado varias cuentas de usuario protegidas por la misma contraseña, también lo está si el administrador ha creado usuarios con contraseñas vacías.
La segunda vulnerabilidad encontrada consiste en una redirección abierta, las URL de acción de Drupal contiene un parámetro de destino que podría ser utilizado por un cibercriminal para redirigir a los usuarios a webs de terceros con contenido malicioso. Este fallo afecta tanto a Drupal 6 como a Drupal 7, según el equipo de desarrollo todos los formularios de confirmación o el botón de cancelar permitirían esta redirección abierta.
Recomendaciones para administradores de Drupal
La primera recomendación para solucionar estos problemas es actualizar la versión de Drupal 6 a la 6.35, y la versión de Drupal 7 a la 7.35. Además de esta recomendación básica es necesario que el software Drupal se ejecuta con permisos de usuario no privilegiado, para que en caso de que se vulnere Drupal no afecte al resto del sistema como por ejemplo la base de datos.
Fuente:https://www.redeszone.net/
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
