Vulnerabilidades críticas de ejecución de código arbitrario PHP en CMS Drupal

Drupal ha liberado actualizaciones de seguridad para remediar dos vulnerabilidades críticas identificadas como CVE-2020-28948 y CVE-2020-28949, éstas podrían permitir ejecución de código PHP que se encuentra en la biblioteca PEAR Archive_Tar de código abierto, que Drupal usa para manejar archivos TAR en PHP.

Esta vulnerabilidad crítica de ejecución de código en Drupal solo puede aprovecharse en aquellos CMS que estén configurados para procesar la carga de archivos comprimidos: .tar, .tar.gz, .bz2 o .tlz.

Al momento más de 944,000 sitios web están utilizando versiones vulnerables de Drupal de un total de 1,120,941 según las estadísticas oficiales emitidas por Drupal. Después de WordPress (63.8%), Shopify (5.1%) y Joomla (3.6%), Drupal (2.5%) es el cuarto CMS más utilizado en los sitios web con administración de contenido.

Las versiones de afectadas son 7, 8 y 9 de Drupal y se recomienda realizar las siguientes actualizaciones para proteger los sitios web de posibles ataques:

  • Drupal 7.x, actualizar a Drupal 7.75.
  • Drupal 8.8.x, actualizar a Drupal 8.8.12.
  • Drupal 8.9.x, actualizar a Drupal 8.9.10.
  • Drupal 9.x, actualizar a Drupal 9.0.9

La semana pasada, Drupal parcheó otra vulnerabilidad crítica de ejecución remota de código rastreada como CVE-2020-13671 y causada por una desinfección incorrecta de los nombres de los archivos cargados.

En caso de que no sea posible realizar la actualización, están disponibles las medidas de mitigación que consisten en el bloqueo a los usuarios que no son de confianza para que no carguen archivos .tar, .tar.gz, .bz2 o .tlz.

Referencias: