Inicio / Alerta Temprana / Avisos Seguridad / Ejecución remota de código en el core de Drupal

Ejecución remota de código en el core de Drupal

Fecha de publicación: 
28/03/2018
Importancia: 
5 - Crítica
Recursos afectados: 

Las versiones de Drupal afectadas son:

  • 8.x
  • 7.x
  • 6.x
Descripción: 

El equipo de seguridad de Drupal ha publicado una actualización del core de drupal que corrige una posible ejecución remota de código considerada como muy crítica en versiones 7.x y 8.x, y también en versiones no soportadas como Drupal 6.

Solución: 

Actualizar el core de Drupal a la última versión:

En el caso de versiones 8.3.x o 8.4.x, versiones que actualmente ya no son soportadas, también se han publicado parches que corrigen esta vulnerabilidad, en concreto las versiones 8.3.9 y 8.4.6.

En el caso de Drupal 6, esta es una versión “End of Life” y se recomienda ponerse en contacto con un mantenedor de Drupal 6 LTS.

Detalle: 

La vulnerabilidad conocida permitiría una ejecución remota de código y ha sido calificada como muy crítica por el equipo de Drupal. Se ha asignado el identificador CVE-2018-7600 para esta vulnerabilidad.

Drupal ha informado que la vulnerabilidad permitiría a cualquier visitante de la página web que pueda ejecutar código arbitrario en el sitio web, y acceder a la información del servidor web.

Esta vulnerabilidad ha sido descubierta por Jasper Mattsson durante una investigación general sobre la seguridad de Drupal y por el momento no se conoce la existencia de ningún código que permita explotarla.

Encuesta valoración