02.05.2019

Seguridad Drupal: múltiples vulnerabilidades detectadas

Varias vulnerabilidades en Drupal han sido publicadas el pasado 17 de abril de 2019. Este problema de seguridad afecta a las versiones 7 y 8 de Drupal, y es importante actualizar Drupal lo antes posible para no verse afectado por algún ataque.

Estas vulnerabilidades han sido categorizada como moredamente crítica y son del tipo Cross Site Scripting y dependencias de terceros.

¿En qué afecta esta nueva vulnerabilidad de Drupal?

Por un lado, el origen de una de estas vulnerabilidades en Drupal reside en la actualización del proyecto jQuery, que publicó su nueva versión 3.40. Con esta actualización de jQuery revelaron un problema de seguridad que afectaba a todas las versiones anteriores.

Entrando más al detalle, la versión 3.40 de jQuery uncluye una solución para algunos comportamientos no deseados al utilizar jQuery.extend(true, {},...). Si un objeto fuente no saneado contenía una propiedad __proto__ enumerable, podría extender el Object.prototype nativo.

Este fallo de seguridad puede provocar que algunos módulos de Drupal aprovechen esta brecha. Como precaución, la actualización de Drupal respalda la solución de jQuery.extend() sin realizar ningún otro cambio en la versión de jQuery que se incluye en el core de Drupal (v.3.2.1 para Drupal 8 y v.1.4.4 para Drupal 7), o en ejecución en el sitio web a través de algún otro módulo como jQuery Update.

Por otro lado, se han encontrado estos otros problemas de seguridad en Symfony:

  • Error de Cross-site scripting (XSS) en los mensajes de validación al utilizar formularios del motor de plantillas PHP.
  • Posible modificación del ID de servicio que permita una ejecución código arbitraria, a partir de un input de usuario.
  • Posible modificación de la cookie generada al indicar la opción "Remember me", que contiene información del usuario, hash de contraseña, etc... Esto permitiría a un atacante autenticarse como un usuario diferente.

Actualiza tu web Drupal

No tardes en actualizar la versión Drupal de tu web para evitar daños mayores. Instala la última versión de Drupal:

  • Si estás utilizando Drupal 8.6, actualízate a la versión 8.6.15
  • Si estás utilizando Drupal 7, actualízate a la versión 7.66

Existen varios métodos para actualizar el core de Drupal (en este caso referenciamos a Drupa 8):

  1. Manualmente: podéis seguir los pasos indicados aquí para actualizar Drupal
  2. Actualizando el core de Drupal via drush
  3. Actualizando el core de Drupal vía composer, si así ha sido instalado Drupal.

¿A qué esperas para actualizar tu web Drupal?

Nuestros clientes ya están actualizados

En cuanto apareció esta vulnerabilidad de Drupal procedimos a actualizar todas las webs de nuestros clientes que están desarrolladas en Drupal.

Nuestro hosting profesional Drupal ya incluye todas las actualizaciones de seguridad de Core y de Módulos.

La seguridad es para nosotros uno de los pilares de nuestro hosting profesional para empresas.