Vulnerabilidades críticas en Drupal

Los desarrolladores recomiendan a los usuarios actualizar sus sistemas a la brevedad

El sistema de gestión de contenidos (CMS) Drupal acaba de lanzar dos actualizaciones de seguridad para corregir dos vulnerabilidades consideradas críticas, reportan expertos en seguridad en redes del Instituto Internacional de Seguridad Cibernética. Según los reportes, si las vulnerabilidades llegaran a ser explotadas, permitirían a un usuario malicioso tomar el control del sistema afectado.

Específicamente, los parches de actualización son para las versiones 7.x, 8.5.x y 8.6.x de Drupal y se pueden corregir actualizando Drupal a las versiones 7.62, 8.5.9 o 8.6.6.

La primera vulnerabilidad crítica, rastreada como CVE-2018-1000888, está relacionada con la implementación de la biblioteca PEAR Archive_Tar, un plugin desarrollado por terceros, el cual también fue corregido por sus editores. De ser explotada, esta vulnerabilidad podría conducir a la ejecución remota de código, reportan expertos en seguridad en redes.

La segunda vulnerabilidad, que aún no cuenta con una clave CVE, es una falla de ejecución remota de código presente en el phar incorporado de PHP cuando se realizan operaciones de archivo en un phar://URI no confiable. Esto podría causar un problema cuando algunos códigos de Drupal, como core, contrib o custom, podrían estar desempeñando operaciones de archivos en una entrada de usuario que no haya sido lo suficientemente validada, lo que los deja expuestos a esta vulnerabilidad.

A pesar de que estas vulnerabilidades han sido consideradas críticas, no todo son malas noticias. Acorde a expertos en seguridad en redes, no existe evidencia alguna de que las fallas de seguridad hayan sido explotadas en ambientes reales, ya que su explotación es compleja debido a que se requieren privilegios de administrador en los sistemas vulnerables.