Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Vulnerabilidad crítica en el gestor de contenidos Drupal


La vulnerabilidad CVE-2022-25277 afecta a Drupal 9.3 y 9.4 en servidores web Apache y puede conducir a la ejecución remota de código mediante archivos .htaccess





Múltiples vulnerabilidades en el núcleo de Drupal 7 y 9


Recursos afectados: 
  • Versiones Drupal core 9.4 anteriores a 9.4.3;
  • versiones Drupal core 9.3 anteriores a 9.3.19;
  • versiones Drupal core 7 anteriores a 7.91.
  • todas las versiones de Drupal 9 anteriores a 9.3.x, junto con Drupal 8, están al final de su vida útil (EOL) y no reciben cobertura de seguridad.
Descripción: 

Se han publicado 3 vulnerabilidades de severidad media y 1 alta en los cores de drupal 7 y 9 que podrían permitir a un atacante la ejecución de código PHP arbitrario, divulgación de información, omisión de acceso, realizar ataques cross-site scripting o el filtrado de cookies.

Solución: 

Actualizar a Drupal core 9.4.3, 9.3.19 o 7.91, según la versión afectada.

Detalle: 
  • El núcleo de Drupal sanea los nombres de archivo con extensiones peligrosas al subirlos y elimina los puntos iniciales y finales de los nombres de archivo, para evitar que se suban archivos de configuración del servidor. Sin embargo, estas protecciones no funcionaban correctamente juntas, por lo que si el sitio estaba configurado para permitir la carga de archivos con una extensión htaccess, los nombres de estos archivos no eran saneados correctamente. Esto podría permitir a un atacante eludir las protecciones proporcionadas por los archivos .htaccess por defecto del núcleo de Drupal y la ejecución remota de código en servidores web Apache. Se ha asignado el identificador CVE-2022-25277 para esta vulnerabilidad alta que afecta al core de Drupal 9.
  • En algunas situaciones, el módulo 'imagen' no comprueba correctamente el acceso a los archivos de imagen no almacenados en el directorio de archivos públicos estándar cuando se generan imágenes derivadas utilizando el sistema de estilos de imagen, lo que podría permitir la divulgación de información. Se ha asignado el identificador CVE-2022-25275 para esta vulnerabilidad media que afecta al core de Drupal 7 y 9.

Para el resto de vulnerabilidades de severidad media, que afectan al core de Drupal 9, se han asignado los identificadores CVE-2022-25278 y CVE-2022-25276.


Fuentes:
https://www.drupal.org/sa-core-2022-014

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-el-core-drupal-7-y-9


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.