El equipo de desarrollo de Drupal ha publicado actualizaciones de seguridad importantes para su herramienta de administración de contenido de código abierto. Estas actualizaciones corrigen dos vulnerabilidad críticas y una de criticidad moderada. La publicación muestra cómo estas vulnerabilidades pueden ser aprovechadas por un atacante para comprometer el funcionamiento y la disponibilidad del sitio.
Los boletines de seguridad sa-core-2020-004, sa-core-2020-005 y sa-core-2020-006 reportan sobre los fallos de seguridad presentes en el CMS, e involucran ejecución de código arbitrario (RCE), ataques del lado del cliente (CSRF) y redirección abierta. Drupal ha confirmado que actualmente se encuentran disponibles los parches de seguridad.
Los productos afectados son:
- CMS Drupal en sus versiones 7.x.
- CMS Drupal en sus versiones 8.8.x.
- CMS Drupal en sus versiones 8.9.x
- CMS Drupal en sus versiones 9.0.x.
Se recomienda realizar la siguiente acción con carácter inmediato:
- Actualización del CMS Drupal a su última versión:
- Si está ejecutando Drupal 7.x, actualizar a Drupal 7.72
- Si está ejecutando Drupal 8.8.x, actualizar a Drupal 8.8.8
- Si está ejecutando Drupal 8.9.x, actualizar a Drupal 8.9.1
- Si está ejecutando Drupal 9.0.x, actualizar a Drupal 9.0.1
Tomar en cuenta que las versiones Drupal 8 anteriores a 8.8.x están fuera de soporte y no recibirán actualizaciones de seguridad. Aquellos sitios con versiones 8.7.x y anteriores, deberán ser migrados a la versión 8.8.8.
Referencias: