Se han publicado recientemente dos vulnerabilidades en la librería Guzzle, utilizada por módulos de Drupal para gestionar peticiones y respuestas a servicios externos con el protocolo HTTP.

Recursos afectados: 

Las versiones de Drupal anteriores a:

• Drupal 9.4.0-rc2,
• Drupal 9.3.16,
• Drupal 9.2.21.

Todas las versiones de Drupal 9, anteriores a 9.2.x, están al final de su ciclo de vida y no reciben actualizaciones de seguridad. Drupal 8 ha llegado al final de su vida útil. Drupal 7 no está afectado.

Descripción: 

Las vulnerabilidades de la librería Guzzle no afectan al núcleo de Drupal, pero puede afectar a algunos proyectos en los que se haya utilizado o al código personalizado de los sitios de Drupal. Los identificadores son:

• CVE-2022-31042: Error al eliminar el encabezado de la cookie en el cambio de host o en la degradación de HTTP.

• CVE-2022-31043: Error al eliminar el encabezado de autorización en la degradación de HTTP.

Recomendaciones: 

Actualizar Drupal a la última versión disponible.

Los administradores también pueden solucionar el problema utilizando temporalmente drupal/core en lugar de drupal/core-recomendado (ver referencia) y luego actualizando Guzzle a la versión deseada. Los usuarios de la versión 9.4 pueden consultar más información sobre la gestión de Guzzle con Drupal 9.4.

Es importante hacer una copia de seguridad de los archivos del servidor web y de la base de datos antes de proceder a actualizar el gestor de contenidos. Además, es recomendable realizar pruebas previas en entornos de preproducción y comprobar que todo funciona correctamente tras la actualización.

Referencias:

• https://www.drupal.org/sa-core-2022-011
• https://www.drupal.org/docs/develop/using-composer/manage-dependencies#s-moving-from-drupalcore-recommended-to-drupalcore
• https://www.drupal.org/node/3268032
• https://github.com/guzzle/guzzle/security/advisories/GHSA-f2wf-25xc-69c9
• https://github.com/guzzle/guzzle/security/advisories/GHSA-w248-ffj2-4v5q