Drupal corrige la vulnerabilidad critica CVE-2018-7600

El equipo de desarrollo de Drupal ha corregido la vulnerabilidad CVE-2018-7600 drupalgeddon2 que podría ser explotada por un atacante para hacerse cargo de un sitio web

El equipo de seguridad de Drupal confirmó que una vulnerabilidad "altamente crítica", rastreada como CVE-2018-7600 , afecta a Drupal 7 y 8 core y anunció la disponibilidad de actualizaciones de seguridad el 28 de marzo.

La vulnerabilidad fue descubierta por los desarrolladores de Drupal Jasper Mattsson.

Drupal 8.3.x y 8.4.x no son compatibles, pero debido a la gravedad de la falla, el equipo de seguridad de Drupal decidió abordarlo con actualizaciones de seguridad específicas.

Ahora el equipo de desarrollo de Drupal ha solucionado la vulnerabilidad que un atacante podría aprovechar para ejecutar código arbitrario en el componente central de CMS y hacerse cargo de un sitio web simplemente accediendo a una URL.

Drupal CMS actualmente se ejecuta en más de un millón de sitios web, es el segundo sistema de administración de contenido más popular detrás de WordPress.

Los administradores del sitio web deben actualizar inmediatamente sus sitios a Drupal 7.58 o Drupal 8.5.1.

La falla se denominó Drupalgeddon2 después de la vulnerabilidad de seguridad Drupalgeddon CVE-2014-3704 que se descubrió en 2014 y que fue explotada en numerosos ataques exitosos en la naturaleza.

La buena noticia es que en ese momento no hay un código de prueba de concepto disponible en línea.

El equipo de seguridad de Drupal declaró que no tenía conocimiento de ningún ataque que explotara la vulnerabilidad de Drupalgeddon2 en estado salvaje.

"Existe una vulnerabilidad de ejecución remota de código dentro de múltiples subsistemas de Drupal 7.x y 8.x. Esto potencialmente les permite a los atacantes explotar múltiples vectores de ataque en un sitio Drupal, lo que podría resultar en que el sitio se vea completamente comprometido ", dice el aviso de seguridad publicado por Drupal.

Si está ejecutando 7.x, actualice a Drupal 7.58. (Si no puede actualizar inmediatamente, puede intentar aplicar este parche para corregir la vulnerabilidad hasta el momento en que pueda actualizar por completo).

Si está ejecutando 8.5.x, actualice a Drupal 8.5.1. (Si no puede actualizar inmediatamente, puede intentar aplicar este parche para corregir la vulnerabilidad hasta que pueda actualizar completamente).

Parchear los sitios web es esencial, el experto popular Kevin Beaumont notó que la página de inicio de Drupal fue removida durante media hora para dirigirse a Drupalgeddon2.

El equipo de Drupal también emitió parches de seguridad para las versiones 6.x que se suspendieron en febrero de 2016.

"Este problema también afecta a Drupal 6. Drupal 6 es End of Life. Para obtener más información sobre el soporte de Drupal 6, póngase en contacto con un proveedor de D6LTS ", continúa el aviso.

Fecha actualización el 2021-03-29. Fecha publicación el 2018-03-29. Categoría: Drupal. Autor: Oscar olg Mapa del sitio Fuente: securityaffairs
web drupal