Inicio / Content / Boletín de INCIBE-CERT del 26-11-2020

Boletín de INCIBE-CERT del 26-11-2020

Ejecución arbitraria de código PHP en el core de Drupal

Fecha de publicación: 
26/11/2020
Importancia: 
4 - Alta
Recursos afectados: 

Versiones anteriores a:

  • 9.0.9;
  • 8.9.10;
  • 8.8.12;
  • 7.75.
Descripción: 

Se ha publicado una vulnerabilidad, de severidad crítica, de tipo ejecución arbitraria de código PHP, que afecta al core de Drupal.

Solución: 

Actualizar a las versiones 9.0.9, 8.9.10, 8.8.12 o 7.75.

Las versiones de Drupal 8, anteriores a 8.8.x, están al final de su vida útil y ya no reciben cobertura de seguridad.

Para mitigar este problema, evite que los usuarios que no sean de confianza, carguen archivos .tar; .tar.gz; .bz2 o .tlz.

Se recomienda actualizar lo antes posible, ya que existen detalles técnicos que permiten la explotación de esta vulnerabilidad.

Detalle: 

La biblioteca PEAR Archive_Tar, utilizada por Drupal, ha publicado una actualización de seguridad para solucionar las siguientes vulnerabilidades:

  • Archive_Tar, versiones anteriores a la 1.4.10, permite un ataque de no serialización porque "phar:" está bloqueado, pero "PHAR:" no lo está. Se ha asignado el identificador CVE-2020-28948 para esta vulnerabilidad.
  • rchive_Tar, versiones anteriores a la 1.4.10, presenta una desinfección del nombre de archivo "://" solo para abordar los ataques phar  y, por lo tanto, cualquier otro ataque de empaquetado de flujo (como "file://" para sobrescribir archivos) aún podría tener éxito. Se ha asignado el identificador CVE-2020-28949 para esta vulnerabilidad.

Los proyectos Drupal que estén configurados para permitir la carga y procesado de archivos .tar; .tar.gz; .bz2 o .tlz, son vulnerables, además, existen detalles técnicos que permiten la explotación de esta vulnerabilidad.

Encuesta valoración