Los desarrolladores de Drupal, un popular gestor de contenidos de código abierto para sitios web, lanzaron la última versión de su software para corregir una vulnerabilidad crítica que podría permitir a los atacantes remotos piratear su sitio.
La actualización se realizó dos días luego de que el equipo de seguridad de Drupal publicara una notificación de seguridad anticipada de los parches que se acercaban, dando a los administradores de los sitios web los avisos iniciales para arreglar sus sitios web antes de que los piratas informáticos abusen de la brecha.
Según el equipo de seguridad de Drupal, la vulnerabilidad en cuestión es una falla crítica de ejecución remota de código (RCE) en Drupal Core que podría «conducir a la ejecución de código PHP arbitrario en algunos casos».
Si bien el equipo de Drupal no ha publicado ningún detalle técnico de la vulnerabilidad CVE-2019-6340, mencionó que la falla reside en el hecho de que algunos tipos de campo afectan a Drupal 7 y 8.
También es necesario tener en cuenta que un sitio web basado en Drupal solo se ve afectado si el módulo de servicios web RESTful está habilitado y permite las solicitudes de PATCH o POST, o si tiene otro módulo de servicios web habilitado.
Si no puedes instalar inmediatamente la última actualización, entonces puede mitigar la vulnerabilidad simplemente deshabilitando todos los módulos de servicios web o configurando los servidores web para que no permita las solicitudes PUT / PATCH / POST a los recursos de servicios web.
«Tenga en cuenta que los recursos de servicios web pueden estar disponibles en varias rutas, dependiendo de la configuración de su servidor», informó Drupal en su aviso de seguridad publicado el miércoles.
«Para Drupal 7, los recursos están, por ejemplo, típicamente disponibles por medio de rutas URL limpias y mediante argumentos al argumento de consulta «q». Para Drupal 8, las rutas aún pueden funcionar cuando se prefijan con index.php /».
Sin embargo, considerando la popularidad de las vulnerabilidades de Drupal entre los piratas informáticos, se recomienda encarecidamente instalar la última actualización:
- Si está utilizando Drupal 8.6.x, actualice su sitio web a Drupal 8.6.10.
- Si está utilizando Drupal 8.5.x o una versión anterior, actualice su sitio web a Drupal 8.5.11.
Drupal también mencionó que el módulo de servicios de Drupal 7 en sí no requiere una actualización en este momento, pero los usuarios aún deben considerar la aplicación de otras actualizaciones asociadas con la última recomendación si «Servicios» está en uso.
La compañía otorgó el crédito a Samuel Mortenson de su equipo de seguridad por descubrir y reportar la vulnerabilidad.
