Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en el núcleo de Drupal

Múltiples vulnerabilidades en el núcleo de Drupal

Fecha de publicación: 
17/01/2019
Importancia: 
5 - Crítica
Recursos afectados: 
  • Drupal versiones 7.x, 8.5.x y 8.6.x
Descripción: 

El equipo de seguridad de Drupal ha publicado tres actualizaciones que corrigen múltiples vulnerabilidades en las versiones 7 y 8.

Solución: 
  • Actualizar a Drupal 7.62, 8.5.9 o 8.6.6 en función de la versión utilizada.

Las versiones de Drupal 8 anteriores a la 8.5.x están al final de su vida útil y no reciben cobertura de seguridad.

Detalle: 

Las principales vulnerabilidades corregidas con estas actualizaciones son:

  • El núcleo de Drupal utiliza la biblioteca PEAR Archive_Tar de terceros. Esta biblioteca ha publicado una actualización de seguridad que afecta a algunas configuraciones de Drupal. Se ha asignado el identificador CVE-2019-6338 para esta vulnerabilidad.
  • Una vulnerabilidad de ejecución de código remoto en el envoltorio integrado de phar stream de PHP, cuando se realizan operaciones de archivo en un phar:// URI no confiable, podría afectar a algunos códigos de Drupal (core, contrib y custom) que estén realizando operaciones de ficheros con entradas de usuario con validación incorrecta. Esta vulnerabilidad se ve mitigada por el hecho de que tales rutas de código normalmente requieren acceso con permisos de administrador o  una configuración atípica. Se ha asignado el identificador CVE-2019-6338 para esta vulnerabilidad. Se ha asignado el identificador CVE-2019-6339 para esta vulnerabilidad.

Encuesta valoración