Recientemente se ha publicado una actualización para corregir una vulnerabilidad que afecta al core de Drupal en varias de sus versiones.

Recursos afectados: 

Las versiones de Drupal correspondientes a los siguientes intervalos:

• desde 8.0.0 hasta la anterior a 9.3.22;
• desde 9.4.0 hasta la anterior a 9.4.7.

Descripción: 

Drupal utiliza la biblioteca de terceros Twig para la limpieza y la creación de plantillas de contenido. Twig ha lanzado una actualización de seguridad que afecta a Drupal. Twig ha calificado la vulnerabilidad como de gravedad alta.

La actualización corrige múltiples vulnerabilidades que se podrían explotar si un atacante obtiene acceso para escribir código en Twig, incluido el acceso de lectura no autorizado a archivos privados, el contenido de otros archivos en el servidor o las credenciales de la base de datos. La vulnerabilidad se ve mitigada por el hecho de que la explotación solo es posible en el core de Drupal con un permiso administrativo de acceso restringido, pero pueden existir opciones de explotación alternativas para la misma vulnerabilidad que permitirían a los usuarios escribir plantillas en Twig.

Recomedaciones:

Se recomienda actualizar Drupal a la última versión disponible. Para ello, puedes acceder a los siguientes enlaces:

• Si utilizas Drupal 9.4, actualiza a Drupal 9.4.7.
• Si utilizas Drupal 9.3, actualiza a Drupal 9.3.22.

Todas las versiones de Drupal 9, anteriores a 9.3.x, están al final de su ciclo de vida y no reciben actualizaciones de seguridad. Drupal 8 ha llegado al final de su vida útil. El core de Drupal 7 no incluye Twig, por lo tanto, no se ve afectado.

Importante: antes de actualizar en entornos de producción es recomendable realizar pruebas previas en entornos de preproducción y comprobar que todo funciona correctamente tras la actualización.

Referencias:

• https://www.drupal.org/sa-core-2022-016
• https://www.incibe.es/protege-tu-empresa/avisos-seguridad/si-tu-web-usa-drupal-actualiza-evitar-estas-vulnerabilidades-0