Múltiples vulnerabilidades en Drupal

Fecha de publicación:

22/06/2017

Importancia:

5 - Crítica

Recursos afectados:

Drupal core 7.x versiones anteriores a 7.56
Drupal core 8.x versiones anteriores a 8.3.4

Descripción:

Drupal ha publicado un aviso que soluciona varias vulnerabilidades en las versiones 7.x y 8.x de Drupal. Una de las vulnerabilidades podría permitir a un atacante remoto tomar el control del sistema afectado.

Solución:

Se deben instalar las últimas versiones:

Si se usa Drupal 7.x, se debe actualizar a la versión 7.56
Si se usa Drupal 8.x, se debe actualizar a la versión 8.3.4

Detalle:

El detalle de las vulnerabilidades de mayor criticidad es el siguiente:

Manejo no adecuado del objeto del parseador PECL YAML, que podría conllevar la ejecución remota de código. Se ha reservado el identificador CVE-2017-6920 para esta vulnerabilidad.
Validación incorrecta de algunos campos del archivo de recursos de REST que podría permitir a un atacante obtener o registrar una cuenta de usuario en el sitio con permisos para subir archivos y modificar el recurso de archivo. Se ha reservado el identificador CVE-2017-6921 para esta vulnerabilidad.
Archivos subidos por usuarios anónimos en un sistema de archivos privado pueden ser accedidos por otros usuarios anónimos. Se ha reservado el identificador CVE-2017-6922 para esta vulnerabilidad.

Referencias:

Drupal Core - Multiple Vulnerabilities - SA-CORE-2017-003

Etiquetas:

Actualización

CMS

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades en Drupal

Vulnerabilidad de inyección SQL a través de Django

Múltiples vulnerabilidades en GitLab

Múltiples vulnerabilidades en productos Netgear

Ejecución arbitraria de código en IBM CICS TX

Divulgación de información sensible en HPE NonStop DSM/SCM