Vulnerabilidad en el core de Drupal

Fecha de publicación:

26/05/2022

Identificador:

INCIBE-2022-0766

Importancia:

3 - Media

Recursos afectados:

Versiones Drupal core 9.3 anteriores a 9.3.14.
Versiones Drupal core 9.4 anteriores a 9.2.20.
Todas las versiones de Drupal 9 anteriores a 9.2.x, junto con Drupal 8, están al final de su vida útil (EOL) y no reciben cobertura de seguridad.

Drupal 7 no está afectado.

Descripción:

Dezső BICZÓ y mayela han reportado una vulnerabilidad de severidad media en la librería Guzzle, que podría afectar a algunos proyectos contribuidos o al código personalizado de las webs que usan Drupal.

Solución:

Actualizar a Drupal core 9.3.14 o 9.2.20, según la versión afectada

Detalle:

Drupal utiliza la librería externa Guzzle para gestionar las solicitudes y respuestas HTTP a los servicios externos. La vulnerabilidad en Guzzle consiste en que no se comprueba si el dominio de la cookie es igual al dominio del servidor que establece la cookie a través de la cabecera Set-Cookie, lo que podría permitir a un servidor malicioso establecer cookies para dominios no relacionados. Se ha asignado el identificador CVE-2022-29248 para esta vulnerabilidad.

Referencias:

Drupal core - Moderately critical - Third-party libraries - SA-CORE-2022-010

Cross-domain cookie leakage

Etiquetas:

Actualización

CMS

Vulnerabilidad

Accesos corporativos

Vulnerabilidad en el core de Drupal

Múltiples vulnerabilidades en router Netgear Orbi

Múltiples vulnerabilidades en productos Aspera Faspex de IBM

Múltiples vulnerabilidades en Moodle

Vulnerabilidades 0day en chipsets Exynos de Samsung

Múltiples vulnerabilidades en el core de Drupal