Alerta de Seguridad No. 15/23: Múltiples vulnerabilidades en el core de Drupal

  • 17/03/2023
  • 74
Alerta de Seguridad No. 15/23: Múltiples vulnerabilidades en el core de Drupal

La Habana,16 de marzo de 2023
“Año 65 de la Revolución”
 
Con fecha 16 de marzo del 2023, varios investigadores han reportado 3 vulnerabilidades de severidad media que afectan a varias versiones del core de Drupal, y cuya explotación podría permitir la divulgación de información sensible.
 
Recursos afectados:
 

  • Versiones anteriores a 7.95.
  • Versiones comprendidas entre la 8.0.0 (incluida) hasta la 9.4.12 (no incluida).
  • Versiones comprendidas entre la 9.5.0 (incluida) hasta la 9.5.5 (no incluida).
  • Versiones comprendidas entre la 10.0.0 (incluida) hasta la 10.0.5 (no incluida).

 
Solución:
 

  • Para Drupal 10.0, actualiza a Drupal 10.0.5.
  • Para  Drupal 9.5, actualiza a Drupal 9.5.5.
  • Para Drupal 9.4, actualiza a Drupal 9.4.12.
  • Para Drupal 7, actualiza a Drupal 7.95.

 
Nota: todas las versiones de Drupal 9, anteriores a 9.4.x, no reciben cobertura de seguridad. Además, Drupal 8 ha llegado a EOL (End of Life) ver: https://www.drupal.org/psa-2021-06-29.
 
Detalles:
 
El módulo media no comprueba correctamente el acceso a las entidades en algunas circunstancias, lo que podría provocar que los usuarios vean miniaturas de elementos multimedia a los que no tienen acceso, incluso para archivos privados.
El módulo de idiomas proporciona un bloque de cambio que podría emplearse para proporcionar enlaces que permitan variar entre diferentes idiomas. En esta circunstancia, cuando se utiliza junto con un módulo como Pathauto, se podría revelar la URL del contenido no publicado.
El core de Drupal proporciona una página que muestra el marcado de phpinfo() para diagnosticar la configuración de PHP. Si un atacante utilizase un exploit XSS contra un usuario privilegiado, podría ser capaz de utilizar la página phpinfo para acceder a información sensible y escalar el ataque.
 
Referencias:
 

  • Drupal core - Moderately critical - Information Disclosure - SA-CORE-2023-002 (https://www.drupal.org/sa-core-2023-002)
  • Drupal core - Moderately critical - Information Disclosure - SA-CORE-2023-003 (https://www.drupal.org/ sa-core-2023-003)
  • Drupal core - Moderately critical - Access bypass - SA-CORE-2023-004 (https://www.drupal.org/ sa-core-2023-004)