Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidad en el core de Drupal

Vulnerabilidad en el core de Drupal

Fecha de publicación: 
29/09/2022
Identificador: 
INCIBE-2022-0943
Importancia: 
4 - Alta
Recursos afectados: 

Versiones del core de Drupal:

  • desde 8.0.0 hasta la anterior a 9.3.22;
  • desde 9.4.0 hasta la anterior a 9.4.7.
Descripción: 

Se ha notificado una vulnerabilidad de severidad alta en el core de Drupal 8 y 9, que podría permitir a un atacante leer el contenido de archivos privados o credenciales de bases de datos.

Solución: 

Actualizar a Drupal 9.4.7 o 9.3.22, según la versión afectada

Detalle: 

La librería Twig, empleada en el core de Drupal, ha publicado un aviso para informar de una vulnerabilidad. Un atacante podría acceder a escribir código en Twig, incluyendo el acceso de lectura no autorizado a archivos privados, así como otros archivos en el servidor, o las credenciales de la base de datos. La explotación en el core de Drupal solo es posible con un permiso administrativo de acceso restringido. Se ha asignado el identificador CVE-2022-39261 para esta vulnerabilidad.

Encuesta valoración