Los responsables de Drupal han lanzado en las últimas horas toda un serie de importantes actualizaciones de seguridad para su CMS que corrigen un total de cuatro vulnerabilidades categorizadas como críticas o moderadamente críticas por lo que si no lo habéis hecho ya, es momento de actualizar vuestros Drupal.
Como cualquier producto de masas, Drupal es siempre un imán para ciberdelincuentes lo cual significa que sus instalaciones siempre están siendo activamente atacadas y más como en este caso cuando se publican vulnerabilidades de este nivel de gravedad.
Como decíamos se trata de una vulnerabilidad crítica y otras tres consideradas como moderadamente críticas. Para corregir las mismas, se han lanzado nuevas versiones de Drupal que lo sitúan en la 7.69 o 8.8.1.
La vulnerabilidad crítica se centra en la librería “Archive_Tar” la cual, Drupal usa para crear, listar, extraer y añadir archivos a y desde ficheros tar, tar.gz, bz2 o tlz. Debido a este fallo un atacante podría plantar o sobreescribir ficheros a partir de un fichero .tar malicioso.
Además, como decíamos se han parcheado otras tres vulnerabilidades “moderadamente críticas”. La primera de ellas consiste en un fallo en el fichero install.php de Drupal que permitiría un ataque DoS contra el site corrompiendo los datos en caché. La segunda vulnerabilidad se centra en un fallo a la hora de filtrar los nombres de archivos subidos, lo cual podría permitir a un atacante sobreescribir archivos de sistema para saltarse controles de seguridad. La última de estas “moderadamente críticas” vulnerabilidades se encuentra en la Media Library de Drupal que fallaba a la hora de restringir el acceso a determinados ficheros para los que el usuario carecía de acceso.
Fuente Drupal
