La plataforma de administración Drupal liberó parches críticos que solucionan vulnerabilidades de evasión de acceso en su núcleo para Drupal 8 este miércoles, solucionando un fallo crítico y dos moderados de seguridad.

La vulnerabilidad más seria es la evasión de acceso (CVE-2017-6925) en el núcleo de Drupal 8 que puede permitir a un atacante acceso no autorizado a la plataforma, permitiendo ver, crear, actualizar o borrar elementos. Las versiones del núcleo 8.x anteriores a 8.3.7 son vulnerables, de acuerdo con el equipo de seguridad de Drupal.

“Esto solo afecta entidades que no usan o no tienen UUID (Universal Unique Identifier) y entidades que tienen distintas restricciones de acceso en diferentes revisiones de la misma entidad”, indicó el boletín.

Actualmente, los investigadores que encontraron el fallo (Maxim Podorov, Arshad y Miles Worthington) indicaron que no estaban al tanto de ningún exploit para ninguna de las vulnerabilidades.

La mitigación de todos los CVE de Drupal 8 incluye actualizar a la última versión, Drupal 8.3.7

Una segunda vulnerabilidad de bypass de acceso (CVE-2017-6923) también impactó el núcleo de Drupal. “Cuando se da de alta una vista, opcionalmente se puede emplear Ajax para actualizar los datos mostrados mediante el filtrado de parámetros. El subsistema/módulo de vistas no restringen el acceso de Ajax al elemento final, sino solo a las vistas configuradas para usar Ajax”, describió Drupal.

La mitigación contra este tipo de ataques incluye asegurar que los administradores tienen restricciones a la vista y actualizar a la última versión de Drupal.

La última vulnerabilidad de evasión de acceso (CVE-2017-6924) está vinculada a la API REST que puede evadir la aprobación de comentarios o dónde pueden los usuarios anónimos publicar comentarios, indicó el equipo de seguridad de Drupal.

Las versiones afectadas son desde la 8.0 hasta la 8.3.6

El núcleo de Drupal 7 no fue impactado por vulnerabilidades similares. Sin embargo, el módulo de Views para Drupal 7 sí fue impactado, de acuerdo con un aviso publicado por separado. Views es un módulo que permite a los administradores y diseñadores de un sitio crear, manejar y desplegar listas de contenido, de acuerdo con Drupal.

La vulnerabilidad de Views está marcada como crítica y también involucra una evasión de acceso. El fallo es idéntico a CVE-2017-6923. Las versiones de Views impactadas son anteriores a 7.x-3.17. La mitigación incluye actualizar a la última versión. No se ha emitido ningún CVE con respecto a la vulnerabilidad de Views.

Drupal publicó dos avisos previos de seguridad con respecto a vulnerabilidades de bypass de acceso. Uno en abril, también relativo al módulo de Web Services RESTful, el otro fue en junio, por un fallo que permitía la ejecución de código mediante una vulnerabilidad de bypass de acceso.

Artículos relacionados:

• Recomendaciones antes de liberar tu página web
• Firewall de aplicación web - parte I
• Consejos para desarrolladores web con enfoque a comercio electrónico