Drupal advierte de dos vulnerabilidades críticas


Drupal anunció dos vulnerabilidades que afectan a las versiones 9.2 y 9.3 que podrían permitir que un atacante descargue archivos maliciosos y tome el control de un sitio. Los niveles de amenaza de ambas vulnerabilidades se clasifican como moderadamente críticos.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) advirtió que los exploits podrían llevar a un atacante a tomar el control de un sitio web vulnerable basado en Drupal.

CISA dijo:

“Drupal ha lanzado actualizaciones de seguridad para abordar las vulnerabilidades que afectan a Drupal 9.2 y 9.3.

Un atacante podría explotar estas vulnerabilidades para tomar el control de un sistema afectado.

Drupal

Drupal es un popular sistema de gestión de contenido de código abierto escrito en el lenguaje de programación PHP.

Muchas organizaciones grandes, como la Institución Smithsonian, Universal Music Group, Pfizer, Johnson & Johnson, la Universidad de Princeton y la Universidad de Columbia, utilizan Drupal para sus sitios web.

API de formulario: validación de entrada no válida

La primera vulnerabilidad afecta a la API de formularios de Drupal. La vulnerabilidad es una validación de entrada incorrecta, lo que significa que lo que se carga a través de la API del formulario no se valida en cuanto a si está autorizado o no.

Validar lo que se carga o ingresa en un formulario es una buena práctica común. En general, la validación de entradas se realiza con un enfoque de lista permitida donde el formulario espera entradas específicas y rechazará todo lo que no coincida con la entrada o carga esperada.

Cuando un formulario no puede validar una entrada, deja el sitio web abierto para cargar archivos que pueden desencadenar un comportamiento no deseado en la aplicación web.

El anuncio de Drupal explicó el problema específico:

«La API Drupal Core Form tiene una vulnerabilidad en la que ciertos formularios de módulos personalizados o contribuidos pueden ser vulnerables a una validación de entrada incorrecta. Esto podría permitir que un atacante inyecte valores no autorizados o sobrescriba. Los formularios afectados son raros, pero en algunos casos un atacante podría modificar datos críticos o sensibles.

Núcleo de Drupal: omisión de acceso

La omisión de acceso es una forma de vulnerabilidad en la que puede haber una forma de acceder a parte del sitio a través de una ruta que no tiene una verificación de control de acceso, lo que en algunos casos permite que un usuario acceda a niveles para los que no tiene permisos.

El anuncio de Drupal describe la vulnerabilidad:

“Drupal 9.3 implementó una API de acceso a entidades genéricas para revisiones de entidades. Sin embargo, esta API no se ha integrado por completo con los permisos existentes, lo que ha dado lugar a una omisión de acceso potencial para los usuarios que tienen acceso a revisiones de contenido en general, pero no tienen acceso a elementos individuales de nodo y contenido multimedia.

Se alienta a los editores a revisar los avisos de seguridad y aplicar actualizaciones

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y Drupal alientan a los proveedores a revisar los avisos de seguridad y actualizar a las últimas versiones.

Cotizaciones

Lea el boletín oficial de vulnerabilidades Drupal CISA

Drupal lanza actualizaciones de seguridad

Lea los dos anuncios de seguridad de Drupal

Núcleo de Drupal – Moderadamente crítico – Validación de entrada incorrecta – SA-CORE-2022-008

Drupal Core – Moderadamente crítico – Omisión de acceso – SA-CORE-2022-009

!function(f,b,e,v,n,t,s) {if(f.fbq)return;n=f.fbq=function(){n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments)}; if(!f._fbq)f._fbq=n;n.push=n;n.loaded=!0;n.version='2.0'; n.queue=[];t=b.createElement(e);t.async=!0; t.src=v;s=b.getElementsByTagName(e)[0]; s.parentNode.insertBefore(t,s)}(window,document,'script', 'https://connect.facebook.net/en_US/fbevents.js');

if( typeof sopp !== "undefined" && sopp === 'yes' ){ fbq('dataProcessingOptions', ['LDU'], 1, 1000); }else{ fbq('dataProcessingOptions', []); }

fbq('init', '1321385257908563');

fbq('track', 'PageView');

fbq('trackSingle', '1321385257908563', 'ViewContent', { content_name: 'drupal-warns-of-two-critical-vulnerabilities', content_category: 'drupal news ' });

La entrada Drupal advierte de dos vulnerabilidades críticas se publicó primero en Seo Con SEM.



source https://seoconsem.es/2022/04/22/drupal-advierte-de-dos-vulnerabilidades-criticas/

Comentarios

Publicar un comentario

Entradas populares de este blog

Texas Locksmiths

Using a smart key allows you to multi-control your vehicle, doing tasks such as starting the engine and locking and unlocking the doors. What's even better is that you can do all of this from afar. In addition, the device provides a superior security method for your vehicle. More information about  Emergency locksmith  can be found on our website. Carrying a lot of car keys is nearly a thing of the past, as more and more car owners choose for a smart key or intelligent key that allows them to manage their vehicle. The key is a tool that allows you to accomplish everything that traditional keys can do, such as start the car, lock and open doors, activate the alarm, and so on. Furthermore, you can perform all of this from afar, without even having to approach the car. The key's functioning range is typically between 5 and 20 metres. Have you ever wondered how your smart key can be so smart? You may have found it interesting, if not baffling, that such a small device can manage s...
Leer más

Google responde por qué todo el Top 10 es contenido «robado»

Imagen
Un editor del popular sitio de noticias The Verge tuiteó que un nuevo artículo había sido reemplazado en la primera página de los resultados de búsqueda de Google por otros sitios que lo copiaron. Danny Sullivan explica por qué sucede esto. El contenido de imitación que clasifica frustra a los editores El contenido de imitación que supera al original es algo con lo que los editores han expresado su frustración durante muchos años. Algunas de las quejas se deben a un malentendido. Por ejemplo, cuando una persona busca una frase sin sentido como palabras seleccionadas al azar en un artículo, Google no sabe qué hacer, no es una consulta de búsqueda real y no hay respuesta para una frase absurda. Entonces, lo que Google hace es usar una búsqueda de texto de forma predeterminada, lo que significa que Google devuelve resultados de búsqueda basados ​​en las palabras de una consulta de búsqueda que coinciden con las palabras en una página web . La prueba real de si el contenido copiado ...
Leer más

Car Key Locksmith

Unauthorized key duplication has compromised many current security systems. Even if a key has a "Do Not Duplicate" stamp on it, a non-professional key duplicator will duplicate it nevertheless. Maintenance staff, tenants, construction workers, and yes, even your employees will have no trouble obtaining a duplicate key for their personal use. For more inforation about  auto locksmith , visit our website. Even if someone has been dismissed or quit and has not returned a key, there are a few ways for keeping a protected location as it should be. To begin, replace all of the locks for which the key was used. This can take a long time, and the cost can soon build up. Second, you can employ proximity cards and readers with an access control system. This is also pricey, but you'll be able to invalidate a card without worrying about it losing its effectiveness. Finally, a number of keys are now available that can only be obtained from a specific authorised dealer. These dealers w...
Leer más