Boletín de INCIBE-CERT del 09-05-2019

Vulnerabilidad en librerías de terceros en el core de Drupal

Fecha de publicación:

09/05/2019

Importancia:

3 - Media

Recursos afectados:

Drupal 8.7,
Drupal 8.6 y anteriores,
Drupal 7.

Descripción:

El equipo de seguridad de Drupal ha detectado una vulnerabilidad de severidad media en dependencias de terceros que se incluyen en el core de Drupal.

Solución:

Para Drupal 8.7, actualizar a Drupal 8.7.1;
Para Drupal 8.6 o anteriores, actualizar a Drupal 8.6.16;
Para Drupal 7, actualizar a Drupal 7.67.

Las versiones de Drupal 8, anteriores a 8.6.x, están en fase end-of-life y no reciben actualizaciones de seguridad.

Detalle:

El paquete PharStreamWrapper, de TYPO3, está afectado por una vulnerabilidad de salto de directorio, que podría permitir a un atacante eludir el mecanismo de protección contra deserialización. Se ha asignado el identificador CVE-2019-11831 para esta vulnerabilidad.

Referencias:

Drupal core - Moderately critical - Third-party libraries - SA-CORE-2019-007

TYPO3-PSA-2019-007: By-passing protection of Phar Stream Wrapper Interceptor

Etiquetas:

Actualización

CMS

Vulnerabilidad

Accesos corporativos

Boletín de INCIBE-CERT del 09-05-2019