Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en el núcleo de Drupal

Múltiples vulnerabilidades en el núcleo de Drupal

Fecha de publicación: 
19/03/2015
Importancia: 
3 - Media
Recursos afectados: 
  • Drupal core 6.x, versiones anteriores a la 6.35.
  • Drupal core 7.x, versiones anteriores a la 7.35.
Descripción: 

Se han identificado y corregido dos vulnerabilidades en el núcleo del gestor de contenidos Drupal.

Solución: 

Actualizar Drupal a las versiones 6.35 y 7.35.

Detalle: 

Sorteo de los controles de acceso (URLs para reiniciar la contraseña - Drupal 6 y 7)

Mediante el aprovechamiento de este fallo, un atacante remoto puede crear URLs falsas para el restablecimiento de contraseñas, pudiendo modificar la contraseña de la cuenta de un usuario y conseguir acceso a la misma.

  • En Drupal 7 puede ser explotada si las cuentas de usuario han sido importadas o editadas mediante programación, en aquellos casos en los que el hash de la contraseña es el mismo para diferentes cuentas.
  • En Drupal 6, además, puede ser explotada en los portales en los que los administradores hayan creado múltiples cuentas de usuario con la misma contraseña a través del interfaz de administración. Así mismo, aquellos que almacenen hashes de contraseñas vacías están en riesgo.

Redirección abierta (Varios vectores incluido el parámetro de URL de destino - Drupal 6 y 7)

El núcleo de Drupal y los módulos de terceros utilizan habitualmente un parámetro en las URLs que es utilizado para redirigir a los usuarios a un nuevo destino tras completar una acción en la página actual. En ciertas circunstancias, un atacante puede utilizar este parámetro para redirigir a los usuarios a sitios de terceros, exponiéndoles de este modo a ataques de ingeniería social.

Etiquetas: