Seguridad Drupal: vulnerabilidades en el core de Drupal

La semana pasada se publicaron 2 vulnerabilidades de seguridad en Drupal que afectan a su Core. Están clasificadas como moderadamente críticas y es importante actualizar Drupal lo antes posible para no verse afectado por algún ataque.

¿A qué versiones de Drupal afectan estas vulnerabilidades?

Las versiones de Drupal afectadas y que necesitan ser actualizadas son:

  • Drupal 8.8.5 o anteriores
  • Drupal 8.7.13 o anteriores
  • Drupal 7.69 o anteriores

¿Cuál es el problema detectado?

La primera vulnerabilidad (SA-CORE-2020-002) afecta a aquellas webs desarrolladas en Drupal que utilicen versiones anteriores del módulo jQuery 3.5.0. Estas versiones cuentan con vulnerabilidades tipo XSS (Cross-site scripting) y pueden ser utilizadas por hackers para ejecutar código malicioso.

La segunda vulnerabilidad (SA-CORE-2020-003) afecta a las versiones anteriores a Drupal 7.70 y podría ser aprovechada por hackers para redirigir a un usuario visitante a una URL externa diferente.

Actualizando Drupal

Siempre es urgente actualizar Drupal cuando aparecen fallos de seguridad. Desde Dyn-o recomendamos encarecidamente actualizar la versión Drupal de tu web para evitar daños mayores. Instala la última versión de Drupal:

  • Si estás utilizando Drupal 8.8.x, actualízate a la versión 8.8.6
  • Si estás utilizando Drupal 8.7.x, actualízate a la versión 8.7.14
  • Si estás utilizando Drupal 7.x, actualízate a la versión 7.70

Existen varios métodos para actualizar el core de Drupal (en este caso referenciamos a Drupal 8):

  1. Manualmente: podéis seguir los pasos indicados aquí para actualizar Drupal
  2. Actualizando el core de Drupal via drush
  3. Actualizando el core de Drupal vía composer, si así ha sido instalado Drupal.

¿A qué esperas para actualizar tu web Drupal?

La seguridad, esencial para nosotros

La seguridad es una de las prioridades de nuestro hosting profesional para empresas. Por este motivo, en cuanto apareció esta vulnerabilidad de Drupal procedimos a actualizar todas las webs de nuestros clientes que están desarrolladas en Drupal.

Nuestro hosting profesional Drupal ya incluye todas las actualizaciones de seguridad de Core y de Módulos.