Seguridad

El INCIBE alerta de una nueva vulnerabilidad crítica en Drupal

La historia se repite con una nueva vulnerabilidad en el popular gestor de contenidos Drupal, considerada “crítica” por parte del INCIBE. Os contamos en qué consiste el agujero de seguridad y cómo solucionarlo.

En abril nos hicimos eco de un fallo de seguridad que podría permitir a un atacante que visite cualquier página web con Drupal ejecutar código a su elección en la misma y tomar el control del sitio. Pues bien, la historia se repite con una nueva vulnerabilidad en este gestor de contenidos, considerada “crítica” por parte del INCIBE.

Dicho agujero de seguridad permitiría acceso para actualizar el contenido sin solicitar credenciales, siempre y cuando el estado del contenido no cambiara a usuarios que no tenían acceso para elloIgualmente, pero dentro del módulo de enlaces contextuales, un atacante podría aprovechar esta vulnerabilidad para dirigir a los usuarios a páginas web maliciosas.

Además, el núcleo de Drupal y los módulos añadidos utilizan frecuentemente un parámetro de cadena de consulta «destino» en las URLs para redirigir a los usuarios a un nuevo destino después de completar una acción en la página actual. Bajo ciertas circunstancias, los usuarios maliciosos pueden utilizar este parámetro para construir una URL que engañe a los usuarios para que sean redirigidos a un sitio web de terceros, exponiéndolos así a posibles ataques de ingeniería social.

Una amenaza crítica se cierne sobre las webs construidas en Drupal

Finalmente, al enviar correos electrónicos, algunas variables no se gestionaban adecuadamente, lo que podía permitir a un atacante la ejecución remota de código de su elección para realizar cambios en el portal.

La solución para estos problemas de seguridad es la instalación de la versión más reciente de Drupal, de acuerdo al INCIBE:

  • Si utiliza Drupal 7.x, actualice a la versión 7.60
  • Si utiliza Drupal 8.6.x, actualice a la versión 8.6.2
  • Si utiliza Drupal 8.5.x o anteriores, actualice a la versión 8.5.8
  • Las versiones de Drupal anteriores a 8.5.x ya no cuentan con soporte técnico y no recibirán actualizaciones.

“Antes de realizar ninguna actualización del gestor de contenidos Drupal, se ha de realizar una copia de seguridad de la base de datos y de todos los ficheros que componen el sitio web, incluida una copia del fichero de configuración del portal”, recuerdan desde este organismo público. “Cuando se instala Drupal, se puede configurar el servicio de comprobación automática de actualizaciones, de tal forma que es el propio portal de Drupal el que nos avisa de la existencia de nuevas actualizaciones”.

Sobre el autor de este artículo

Alberto Iglesias Fraga

Periodista especializado en tecnología e innovación que ha dejado su impronta en medios como TICbeat, La Razón, El Mundo, ComputerWorld, CIO España, Business Insider, Kelisto, Todrone, Movilonia, iPhonizate o el blog Think Big, entre otros. También ha sido consultor de comunicación en Indie PR. Ganador del XVI Premio Accenture de Periodismo, ganador del Premio Día de Internet 2018 a mejor marca personal en RRSS y finalista en los European Digital Mindset Awards 2016, 2017 y 2018.