Drupal lanzó oficialmente una actualización de seguridad para corregir la vulnerabilidad de ejecución remota de código de Drupal (CVE-2020-36193)
Los atacantes pueden utilizar vulnerabilidades de alto riesgo para atravesar directorios, ejecutar código remoto, etc., para obtener el control del servidor, lo que representa un mayor riesgo de seguridad.
Detalle de vulnerabilidad: Drupal usa pear Archive_Tar como biblioteca dependiente. Al procesar paquetes comprimidos en formatos como .tar, .tar.gz, .bz2 o .tlz, debido a la falta de un filtrado estricto, los atacantes pueden construir paquetes comprimidos que contienen enlaces simbólicos y cargarlos, lo que puede conducir a la existencia de vulnerabilidades de recorrido de directorio, e incluso vulnerabilidades de ejecución remota de código.
Versión afectada: Drupal <9.1.3, Drupal <9.0.11, Drupal <8.9.13, Drupal <7,78
Solución: Actualice Drupal a la última versión. Puede configurar Drupal para que prohíba a los usuarios cargar paquetes comprimidos en formatos como .tar, .tar.gz, .bz2, .tlz, etc.
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
