La pasada semana Drupal alertó de dos vulnerabilidades críticas que permitirían a los atacantes sobrescribir datos e inyectar valores no permitidos. Estas vulnerabilidades afectan a las versiones 9.2 y 9.3, permitiendo que un atacante cargue archivos maliciosos y tome el control de un sitio. Los niveles de amenaza de las dos vulnerabilidades se clasifican como moderadamente críticos.
Así mismo, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) advirtió que los exploits podrían llevar a un atacante a tomar el control de un sitio web vulnerable basado en Drupal.
Qué es Drupal
Drupal es un sistema de gestión de contenidos multipropósito, modular, libre y con una amplia capacidad de personalización, enfocado a usuarios avanzados. También es una de las plataformas más flexibles, siendo ideal para usuarios con conocimientos avanzados.
A pesar de no ser tan popular como WordPress, es uno de los CMS más completos para grandes portales corporativos. Además, es una plataforma flexible y fácilmente integrable con otras soluciones de negocio.
Es un CMS muy práctico para administración pública, grandes empresas y proyectos potentes que necesiten una plataforma robusta, segura y estable. Muchas entidades importantes como la Institución Smithsonian, Universal Music Group, Pfizer, Johnson & Johnson, la Universidad de Princeton y la Universidad de Columbia utilizan Drupal para sus sitios web.
Las dos vulnerabilidades detectadas en Drupal
Se han detectado dos vulnerabilidades valoradas con un nivel de amenaza moderadamente crítico:
- API de formulario: validación de entrada incorrecta
- Núcleo de Drupal: omisión de acceso
API de formulario: validación de entrada incorrecta
La primera vulnerabilidad detectada afecta a su API de formularios. La vulnerabilidad es una validación de entrada incorrecta. Esto significa que lo que se carga a través de la API del formulario no se valida en cuanto a si está permitido o no.
Validar lo que se carga o ingresa en un formulario es una buena práctica común. En general, la validación de entrada se realiza con un enfoque de lista de permitidos en el que el formulario espera entradas específicas y rechazará todo lo que no se corresponda con la entrada o carga esperada.
Cuando un formulario no puede validar una entrada, deja el sitio web abierto a la carga de archivos que pueden desencadenar un comportamiento no deseado en la aplicación web.
En su comunicado, Drupal informaba que “La API de formularios del núcleo tiene una vulnerabilidad en la que ciertos formularios de módulos personalizados o contribuidos pueden ser vulnerables a una validación de entrada incorrecta. Esto podría permitir que un atacante inyecte valores no permitidos o sobrescriba datos. Los formularios afectados son poco comunes, pero en ciertos casos un atacante podría alterar datos críticos o confidenciales”.
Núcleo de Drupal: omisión de acceso
La omisión de acceso es una forma de vulnerabilidad en la que puede existir una manera de acceder a una parte del sitio a través de una ruta que no tiene una verificación de control de acceso. A consecuencia de esto, en algunos casos, un usuario puede obtener acceso a niveles para los que no tiene permiso.
Drupal explicaba que “Drupal 9.3 implementó una API de acceso a entidades genéricas para revisiones de entidades. Sin embargo, esta API no estaba completamente integrada con los permisos existentes, lo que resultó en una posible omisión de acceso para los usuarios que tienen acceso para usar revisiones de contenido en general, pero que no tienen acceso a elementos individuales de nodo y contenido multimedia”.
Versiones afectadas y actualizaciones
La vulnerabilidad API de formulario: validación de entrada incorrecta afecta a las versiones 9.2 y 9.3. Las soluciones aportadas son las siguientes:
Si estás utilizando Drupal 9.3, actualiza a Drupal 9.3.12.
Si estás utilizando Drupal 9.2, actualiza a Drupal 9.2.18.
La vulnerabilidad Núcleo de Drupal: omisión de acceso, tan solo afecta a la versión 9.3 de Drupal y se soluciona actualizando a Drupal 9.3.12.