Se han publicado cuatro vulnerabilidades en el core de Drupal, una crítica y tres de severidad alta. La más crítica de estas vulnerabilidades podría llevar a la ejecución de archivos de configuración en el servidor Apache.

Recursos afectados:

Las versiones de Drupal anteriores a:

• Drupal 9.4.3;
• Drupal 9.3.19;
• Drupal 7.91.

Descripción:

La vulnerabilidad crítica que afecta a la sanitización de los nombres de archivo con extensiones sospechosas permite, de no ser parcheada, que ficheros con la extensión .httaccess (de configuración del servidor Apache) puedan llegar a ejecutarse en el servidor. Se ha asignado el identificador CVE-2022-25277 para esta vulnerabilidad.

El resto de vulnerabilidades afectan:

• al módulo de imagen que no chequea correctamente el acceso a ficheros fuera de los directorios estándar (CVE-2022-25275);
• a la API de formularios, que evalúa incorrectamente, en algunas circunstancias, el acceso a elementos de formularios añadidos a través de módulos o temas contribuidos por terceros (CVE-2022-25278);
• a la validación de los dominios de las rutas de los iframes de media oEmbed que puede llevar a ataques de cross-site-scripting o robo de cookies entre otras (CVE-2022-25276).

Recomendaciones:

Se recomienda actualizar Drupal a la última versión disponible.

• Si utiliza Drupal 9.4, actualizar a Drupal 9.4.3.
• Si utiliza Drupal 9.3, actualizar a Drupal 9.3.19.
• Si utiliza Drupal 7, actualizar a Drupal 7.91.

Todas las versiones de Drupal 9, anteriores a 9.3.x, están al final de su ciclo de vida y no reciben actualizaciones de seguridad. Drupal 8 ha llegado al final de su vida útil. Drupal 7 solo está afectado por la vulnerabilidad del módulo de imagen.

Referencias:

• https://www.drupal.org/sa-core-2022-012
• https://www.drupal.org/sa-core-2022-013
• https://www.drupal.org/sa-core-2022-014
• https://www.drupal.org/sa-core-2022-015