El día 15 de septiembre del 2021, Drupal desveló que existen 5 nuevas vulnerabilidades que afectaban a las versiones 8.9, 9.1 y 9.2 del famoso CMS open-source.
A continuación, se detallan las vulnerabilidades detectadas.
| Identificador de vulnerabilidad | CWE | Descripción | Módulo afectado |
| CVE-2020-13673 | 352 | En virtud de una validación deficiente de las solicitudes HTTP que se originan en el módulo Core Media de Drupal un atacante remoto puede realizar un cross-site request forgery attack. El atacante, sin usar exploit alguno, puede engañar a un usuario y de esta manera llevarlo a que realice acciones arbitrarias en una página web especialmente diseñada para simular la original. | Core Media |
| CVE-2020-13674 | 352 | A causa de esta vulnerabilidad un atacante remoto puede efectuar un cross-site request forgery attacks. En Drupal existe una validación deficiente de las solicitudes HTTP que se originan en el módulo QuickEdit. Un atacante de manera remota puede engañar a un usuario y persuadirla de visitar una página web especialmente diseñada para realizar acciones arbitrarias haciéndose pasar por él. Este ataque puede ser efectuado por un atacante no autenticado en el sitio y sin la necesidad de usar un exploit. | QuickEdit |
| CVE-2020-13675 | 284 | Debido a esta vulnerabilidad un usuario remoto puede ganar acceso a funcionalidades restringidas. La presencia de esta vulnerabilidad es debido a una restricción no apropiada del acceso al JSON:API y a los módulos REST/File mientras se realiza la validación de los archivos subidos. El usuario remoto puede realizar un bypass al proceso de validación de archivos, todo esto puede ser realizado sin un exploit. | REST/File |
| CVE-2020-13676 | 284 | Esta vulnerabilidad permite a un usuario remoto ganar acceso a información sensible. La precitada vulnerabilidad existe debido a una problemas con las restricciones de acceso con el módulo QuickEdit. Un usuario remoto puede realizar un bypass a las restricciones de seguridad implementadas y leer ciertos datos sensibles almacenados en el website. Esta vulnerabilidad no necesita de un exploit. | QuickEdit |
| CVE-2020-13677 | 284 | La presente vulnerabilidad permitía que un usuario remoto gane accesos no autorizados. Esta vulnerabilidad existe debido a una mala configuración en las restricciones de acceso al módulo JSON:API. Un usuario remoto puede hacer un bypass a las restricciones de seguridad y ganar acceso no autorizado a la aplicación. Cabe destacar que no hay un exploit para esta vulnerabilidad. | JSON:API |
Recomendaciones
Se recomienda actualizar Drupal a las últimas versiones disponibles, listadas aquí:
- Si se encuentra usando Drupal 9.2, actualizar a la versión 9.2.6.
- Si se encuentra usando Drupal 9.1, actualizar a la versión 9.1.13.
- Si se encuentra usando Drupal 8.9, actualizar a la versión 8.9.19.
Notas importantes
Las versiones Drupal 7 no se ven afectadas. Las versiones de Drupal 8 previas a la 8.9.x y las versiones de Drupal 9 previas a la 9.1.X no reciben más actualizaciones de seguridad, recomendamos actualizar a las versionas mencionadas en el apartado ¿cuál es la solución?.