Alerta de Seguridad No. 34/22: Drupal corrige vulnerabilidad que afecta a la librería Guzzle

  • 27/05/2022
  • 131
Alerta de Seguridad No. 34/22: Drupal corrige vulnerabilidad que afecta a la librería Guzzle

Se ha detectado una vulnerabilidad en la librería Guzzle utilizada por módulos de Drupal para gestionar peticiones y respuestas a servicios externos con el protocolo HTTP.

Recursos afectados: 

Las versiones de Drupal anteriores a:

  • Drupal 9.3.14,
  • Drupal 9.2.20.

 

NOTA: Todas las versiones de Drupal 9 anteriores a 9.2.x, junto con Drupal 8, están al final de su vida útil (EOL) y no reciben cobertura de seguridad.

Drupal 7 no está afectado.

Descripción:

Drupal utiliza la librería externa Guzzle para gestionar las solicitudes y respuestas HTTP a los servicios externos. La vulnerabilidad en Guzzle consiste en que no se comprueba si el dominio de la cookie es igual al dominio del servidor que establece la cookie a través de la cabecera Set-Cookie, lo que podría permitir a un servidor malicioso establecer cookies para dominios no relacionados. Se ha asignado el identificador CVE-2022-29248 para esta vulnerabilidad.

Recomendaciones:

  • Actualizar a Drupal core 9.3.14 o 9.2.20, según la versión afectada.

 

Se aconseja realizar una copia de seguridad de los archivos de su servidor web y de la base de datos antes de proceder a actualizar el gestor de contenidos. Además, es una buena práctica realizar pruebas previas fuera de línea y comprobar que todo funciona correctamente tras la actualización, antes de su publicación en un entorno de producción.

Referencias:

  • https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidad-el-core-drupal-4
  • https://www.drupal.org/project/drupal/releases/9.3.14
  • https://www.drupal.org/project/drupal/releases/9.2.20