Múltiples vulnerabilidades en Drupal

Fecha de publicación: 
22/06/2017
Importancia: 
5 - Crítica
Recursos afectados: 
  • Drupal core 7.x versiones anteriores a 7.56
  • Drupal core 8.x versiones anteriores a 8.3.4
Descripción: 

Drupal ha publicado un aviso que soluciona varias vulnerabilidades en las versiones 7.x y 8.x de Drupal. Una de las vulnerabilidades podría permitir a un atacante remoto tomar el control del sistema afectado.

Solución: 

Se deben instalar las últimas versiones:

  • Si se usa Drupal 7.x, se debe actualizar a la versión 7.56
  • Si se usa Drupal 8.x, se debe actualizar a la versión 8.3.4
Detalle: 

El detalle de las vulnerabilidades de mayor criticidad es el siguiente:

  • Manejo no adecuado del objeto del parseador PECL YAML, que podría conllevar la ejecución remota de código. Se ha reservado el identificador CVE-2017-6920 para esta vulnerabilidad.
  • Validación incorrecta de algunos campos del archivo de recursos de REST que podría permitir a un atacante obtener o registrar una cuenta de usuario en el sitio con permisos para subir archivos y modificar el recurso de archivo. Se ha reservado el identificador CVE-2017-6921 para esta vulnerabilidad.
  • Archivos subidos por usuarios anónimos en un sistema de archivos privado pueden ser accedidos por otros usuarios anónimos. Se ha reservado el identificador CVE-2017-6922 para esta vulnerabilidad.