Múltiples vulnerabilidades en Drupal

Fecha de publicación:

22/06/2017

Importancia:

5 - Crítica

Recursos afectados:

Drupal core 7.x versiones anteriores a 7.56
Drupal core 8.x versiones anteriores a 8.3.4

Descripción:

Drupal ha publicado un aviso que soluciona varias vulnerabilidades en las versiones 7.x y 8.x de Drupal. Una de las vulnerabilidades podría permitir a un atacante remoto tomar el control del sistema afectado.

Solución:

Se deben instalar las últimas versiones:

Si se usa Drupal 7.x, se debe actualizar a la versión 7.56
Si se usa Drupal 8.x, se debe actualizar a la versión 8.3.4

Detalle:

El detalle de las vulnerabilidades de mayor criticidad es el siguiente:

Manejo no adecuado del objeto del parseador PECL YAML, que podría conllevar la ejecución remota de código. Se ha reservado el identificador CVE-2017-6920 para esta vulnerabilidad.
Validación incorrecta de algunos campos del archivo de recursos de REST que podría permitir a un atacante obtener o registrar una cuenta de usuario en el sitio con permisos para subir archivos y modificar el recurso de archivo. Se ha reservado el identificador CVE-2017-6921 para esta vulnerabilidad.
Archivos subidos por usuarios anónimos en un sistema de archivos privado pueden ser accedidos por otros usuarios anónimos. Se ha reservado el identificador CVE-2017-6922 para esta vulnerabilidad.

Referencias:

Drupal Core - Multiple Vulnerabilities - SA-CORE-2017-003

Etiquetas:

Actualización

CMS

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades en Drupal

Múltiples vulnerabilidades en productos SonicWall

Ejecución remota de código en Desktop Central de ManageEngine

Ejecución remota de código en Zoho ManageEngine ServiceDesk Plus

Vulnerabilidad de desbordamiento de búfer en múltiples productos HP

Múltiples vulnerabilidades en Avalanche de Ivanti