TLP: Amber
NIVEL DE RIESGO – [Crítico]
Acción Requerida: Aplicar las actualizaciones publicadas por Drupal a los sistemas afectados.
Vector de ataque: Red.
Impacto: Ejecución de código.

Descripción

Drupal ha publicado una actualización de seguridad de emergencia para abordar dos vulnerabilidades críticas presentes en algunas versiones del gestor de contenidos (CMS). Los identificadores asignados a estas fallas son:

  1. CVE-2020-28948
  2. CVE-2020-28949

Ambas fallas están presentes en la biblioteca “PEAR Archive_Tar”, una clase usada para la manipulación de archivos comprimidos .tar en PHP, las cuales pueden permitir a un usuario ejecutar código PHP de manera arbitraria en la instancia afectada. Estas vulnerabilidades solo pueden aprovecharse en aquellos CMS que estén configurados para procesar la carga de archivos comprimidos .tar, .gz, .bz2 o .tlz.

La actualización publicada como “SA-CORE-2020-013”, resuelve los fallos relacionados con la biblioteca PEAR Archive_TAR. Las versiones de Drupal anteriores a la 8.8.X ya no tienen soporte, por lo que no se tiene actualización para corregir estas fallas, solamente la versión 7, que puede actualizarse a 7.5.

Según los expertos, alrededor de 944 mil sitios Web se encuentran utilizando versiones vulnerables de Drupal. Además, se sabe que el gestor de contenidos (CMS) de Drupal es de los más utilizados en Internet, por lo que se recomienda urgentemente la actualización de los mismos.

Nivel de riesgo

  • Crítico

Sistemas/tecnologías afectadas

  • Drupal 9.0
  • Drupal 8.9
  • Drupal 8.8
  • Drupal 7

Medidas de erradicación

A continuación, se listan las actualizaciones publicadas por Drupal para solucionar las vulnerabilidades reportadas en esta alerta:

  • Drupal 9.0.9 para la versión 9.0
  • Drupal 8.9.10 para la versión 8.9
  • Drupal 8.8.12 para la versión 8.8
  • Drupal 7.75 para la versión 7

Referencias