Drupal es un sistema de gestión de contenidos (CMS) libre, modular, multipropósito y muy personalizable, ideal para desarrollar desde sitios web simples hasta aplicaciones web complejas.
El Core de Drupal son los módulos provistos por Drupal al instalarse, estos no requieren ser descargados ni instalados de manera independiente y pueden ser activados/desactivados en el back-end.
La vulnerabilidad registrada como SA-CORE-2023-005 se refiere a que la función de descarga de archivos no realiza una adecuada validación y filtrado de las rutas en que estos se encuentran, permitiendo a los atacantes acceder a archivos ubicados en la misma carpeta o directorio pero que no deberían tener acceso.
Productos Afectados:
- Todos los sitios de Drupal 7 en servidores web de Windows.
- Sitios de Drupal 7 en servidores web de Linux con ciertas estructuras de directorios de archivos o si se instala un módulo de acceso a archivos personalizados.
- Los sitios de Drupal 9 y 10 solo son vulnerables si se instalan ciertos módulos de acceso a archivos personalizados o contribuidos.
Solución:
Si está utilizando
- Drupal 10.0, actualizar a Drupal 10.0.8.
- Drupal 9.5, actualizar a Drupal 9.5.8.
- Drupal 9.4, actualizar a Drupal 9.4.14.
- Drupal 7, actualizar a Drupal 7.96.
Recomendaciones:
- Algunos sitios pueden requerir cambios de configuración después de la actualización, revisar el manual de la versión si se presenta problemas para acceder a los archivos.
- Tener en cuenta que todas las versiones de Drupal 9 anteriores a 9.4.x están al final de su ciclo de vida y no reciben cobertura de seguridad.
- Tener en cuenta que Drupal 8 ha llegado al final de su vida útil.
Referencias:
- https://www.drupal.org/sa-core-2023-005
- https://digital.nhs.uk/cyber-alerts/2023/cc-4308
- https://www.altagrade.com/blog/drupal-core-moderately-critical-access-bypass-sa-core-2023-005