El equipo de seguridad de Drupal ha publicado un boletín de seguridad calificado como crítico, en el que se soluciona una vulnerabilidad que podría permitir a un atacante evitar los controles de acceso.

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

El problema, con CVE-2017-6919 y considerado crítico, consiste en un salto del acceso. Un sitio solo se ve afectado si se cumplen las siguientes condiciones: el sitio tiene activo el módulo RESTful Web Services, permite peticiones PATCH y el atacante puede tener o registrar una cuenta de usuario en el sitio.

Se ven afectadas las versiones 8.x anteriores a 8.2.8 y 8.3.1. Se recomienda la actualización a las versiones Drupal 8.2.8 o 8.3.1.

https://www.drupal.org/project/drupal/releases/8.2.8

https://www.drupal.org/project/drupal/releases/8.3.1

Cabe señalar, que aunque Drupal no proporciona actualizaciones de seguridad para versiones menores no soportadas, dada la gravedad del problema han proporcionado una versión 8.2.x. De esta forma todos los sitios que no han tenido oportunidad de actualizar a 8.3.0 pueden evitar el problema.

Más información:

Drupal Core - Critical - Access Bypass - SA-CORE-2017-002

https://www.drupal.org/SA-CORE-2017-002

Antonio Ropero

[email protected]

Twitter: @aropero