El descubrimiento de una vulnerabilidad crítica ( https://www.drupal.org/sa-core-2018-002) de código remoto en el sistema de gestión de contenidos de Drupal pone a los sitios en riesgo de robo de datos. La vulnerabilidad es trivialmente fácil de explotar para cualquiera que visite un sitio de Drupal. Se han publicado actualizaciones para Drupal 6, 7 y 8 y deberían aplicarse cuanto antes.

Nuestros clientes que ejecutan sitios basados en Drupal 7.X deberían actualizar a la versión 7.58. Los sitios de Drupal que ejecutan la versión 8.5.X deberían actualizar a Drupal 8.5.1.

Drupal 8.3.X y 8.4.X ya no son compatibles, pero la vulnerabilidad es tan grave que se han publicado actualizaciones con correcciones, aunque se recomienda a los propietarios de sitios con Drupal instalado que actualicen a 8.5.X lo antes posible. Drupal 6 no es compatible desde 2015 y no recibirá actualizaciones oficiales; sin embargo, el proyecto Drupal 6 LTS ha publicado parches.

(https://www.mydropwizard.com/blog/highly-critical-drupal-core-security-update-sa-core-2018-002-including-drupal-6 )

Drupal puede ser actualizado de diferentes maneras dependiendo de la versión. Encontrará instrucciones para actualizar Drupal 8 en su documentación. Los usuarios de Drupal 7 deben seguir las instrucciones aquí. (target="_blank" href="https://www.drupal.org/docs/7/update">https://www.drupal.org/docs/7/update)

Detalles de la vulnerabilidad

La vulnerabilidad es causada por el manejo de Drupal de los parámetros de petición HTTP. Si los parámetros contienen caracteres especiales, pueden ser malinterpretados por Drupal. Un usuario puede pasar un objeto array a la aplicación a través de una petición. Si el objeto tiene un nombre en clave que contiene código, se procesa sin ser revisado. En efecto, simplemente visitar un sitio con una URL infectada puede comprometerlo.

Los parches (https://blog.appsecco.com/remote-code-execution-with-drupal-core-sa-core-2018-002-95e6ecc0c714 ) contienen código que filtra los datos enviados por los usuarios a través de peticiones GET y POST y cookies, evitando que un atacante inyecte código remoto en el núcleo de Drupal.

No hay evidencia de que la vulnerabilidad haya sido explotada antes de la publicación de los parches, pero ahora que la información y los parches están disponibles, es sólo cuestión de tiempo antes de que gente traviesa comience a explotar los sitios y a liberar utilidades que puedan explotar automáticamente los sitios vulnerables.

Con una puntuación de riesgo de 21 sobre 25 en el NIST Common Misuse Scoring System, esta vulnerabilidad se considera altamente crítica. Esto significa que es trivialmente fácil de explotar, los usuarios anónimos pueden explotarlo sin escalamiento de privilegios, expone todos los datos no públicos, y todos los datos en el sitio pueden ser modificados o eliminados.

En pocas palabras, si su sitio es uno de los más de un millón que se ejecuta en una versión afectada de Drupal, es fundamental que aplique las actualizaciones disponibles lo antes posible.

Si tiene alguna pregunta, póngase en contacto con nuestro equipo de soporte.