Múltiples vulnerabilidades en Drupal
Fecha de publicación:
22/06/2017
Importancia:
5 -
Crítica
Recursos afectados:
- Drupal core 7.x versiones anteriores a 7.56
- Drupal core 8.x versiones anteriores a 8.3.4
Descripción:
Drupal ha publicado un aviso que soluciona varias vulnerabilidades en las versiones 7.x y 8.x de Drupal. Una de las vulnerabilidades podría permitir a un atacante remoto tomar el control del sistema afectado.
Solución:
Se deben instalar las últimas versiones:
- Si se usa Drupal 7.x, se debe actualizar a la versión 7.56
- Si se usa Drupal 8.x, se debe actualizar a la versión 8.3.4
Detalle:
El detalle de las vulnerabilidades de mayor criticidad es el siguiente:
- Manejo no adecuado del objeto del parseador PECL YAML, que podría conllevar la ejecución remota de código. Se ha reservado el identificador CVE-2017-6920 para esta vulnerabilidad.
- Validación incorrecta de algunos campos del archivo de recursos de REST que podría permitir a un atacante obtener o registrar una cuenta de usuario en el sitio con permisos para subir archivos y modificar el recurso de archivo. Se ha reservado el identificador CVE-2017-6921 para esta vulnerabilidad.
- Archivos subidos por usuarios anónimos en un sistema de archivos privado pueden ser accedidos por otros usuarios anónimos. Se ha reservado el identificador CVE-2017-6922 para esta vulnerabilidad.
Etiquetas: