Fecha de publicación: Mié, 16/09/2020 - 17:15

 

El Administrador de contenidos Drupal ha publicado 5 actualizaciones de seguridad para miitigar vulnerabilidades recientemente descubiertas en su núcleo, una de las cuales es crítica y otras son moderadamente críticas en gravedad.

1. CVE-2020-13670 - Divulgación de Información

Riesgo de seguridad: Moderadamente crítico

Desde Drupal indican que existe una vulnerabilidad en el módulo File (Archivo) que permitiría a un atacante ganar acceso a los metadatos de un archivo permanente privado al que no tiene acceso adivinando el ID del archivo.

Solución:

  • Si está usando Drupal 8.8.x, actualice a Drupal 8.8.10.
  • Si está usando Drupal 8.9.x, actualice a Drupal 8.9.6.
  • Si está usando Drupal 9.0.x, actualice a Drupal 9.0.6.

2. CVE-2020-13667 - Bypass de Acceso

Riesgo de seguridad - Moderadamente crítico

Desde Drupal indican que el módulo de espacios de trabajo no verifica suficientemente los permisos de acceso al cambiar de espacio de trabajo, lo que genera una vulnerabilidad de omisión de acceso. Un atacante podría ver el contenido antes de que el propietario del sitio desee que las personas lo vean.

Solución:

  • Si está usando Drupal 8.8.x, actualice a Drupal 8.8.10.
  • Si está usando Drupal 8.9.x, actualice a Drupal 8.9.6.
  • Si está usando Drupal 9.0.x, actualice a Drupal 9.0.6.

3. CVE-2020-13669 - Secuencia de comandos en sitios cruzados (XSS) - CKEditor

Riesgo de Seguridad - Moderadamente crítico

Desde Drupal indican que la funcionalidad de subtítulos de imagen CKEditor incorporada en Drupal es vulnerable a XSS.

Solución:

  • Si está usando Drupal 8.8.x, actualice a Drupal 8.8.10.
  • Si está usando Drupal 8.9.x, actualice a Drupal 8.9.6.
  • Si está usando Drupal 9.0.x, actualice a Drupal 9.0.6.

4. CVE-2020-13666 - Secuencia de comandos en sitios cruzados (XSS) - Drupal Ajax API

Riesgo de Seguridad - Moderadamente crítico

API AJAX de Drupal no deshabilita JSONP de forma predeterminada, lo que puede provocar secuencias de comandos en sitios cruzados.

Solución:

  • Si está usando Drupal 7.x, actualice a Drupal 7.73.
  • Si está usando Drupal 8.8.x, actualice a Drupal 8.8.10.
  • Si está usando Drupal 8.9.x, actualice a Drupal 8.9.6.
  • Si está usando Drupal 9.0.x, actualice a Drupal 9.0.6.

Si anteriormente confiaba en la API AJAX de Drupal para realizar solicitudes JSONP confiables, deberá anular las opciones de AJAX para establecer "jsonp: true" o deberá utilizar la API AJAX de jQuery directamente.
Si está utilizando la API AJAX de jQuery para las URL proporcionadas por el usuario en un módulo contrib o personalizado, debe revisar su código y establecer "jsonp: false" donde sea apropiado.

5. CVE-2020-13668 - Secuencia de comandos en sitios cruzados reflejada (XSS) - Drupal 8 y 9

Riesgo de Seguridad - Crítico

Drupal 8 y 9 tienen una vulnerabilidad de secuencias de comandos entre sitios reflejada (XSS) en formularios HTML que se da en determinadas circunstancias.

Un atacante podría aprovechar la forma en que se representa HTML para los formularios afectados con el fin de aprovechar la vulnerabilidad.

Solución:

  • Si está usando Drupal 8.8.x, actualice a Drupal 8.8.10.
  • Si está usando Drupal 8.9.x, actualice a Drupal 8.9.6.
  • Si está usando Drupal 9.0.x, actualice a Drupal 9.0.6.

 

En todos los casos Drupal recomienda tomar nota de lo siguiente:

Las versiones de Drupal 8 anteriores a 8.8.x están al final de su vida útil y no reciben cobertura de seguridad. Los sitios en 8.7.xo anterior deberían actualizarse a 8.8.10.

Recomendaciones

En cada caso revise las notas de la versión, se recomienda realizar pruebas previas en entornos de preproducción y comprobar que todo funciona correctamente tras la actualización y aplicar en producción.

Referencias

https://www.drupal.org/sa-core-2020-011

https://www.drupal.org/sa-core-2020-010

https://www.drupal.org/sa-core-2020-009

https://www.drupal.org/sa-core-2020-007

https://www.drupal.org/sa-core-2020-008