Una nueva vulnerabilidad muy crítico, identificado como CVE-2019-6340, se acaba de descubrir en Drupal, y por suerte ya está solucionado en la última versión del sistema de gestión de contenidos.
Si está ejecutando Drupal 7, no se requiere una actualización del núcleo, pero es posible que tenga que actualizar módulos de terceros si está utilizando un módulo afectado. No somos capaces de proporcionar la lista de los módulos en este momento, Drupal dijo en el aviso de seguridad.
Reanudar Técnica CVE-2019-6340
CVE-2019-6340 es un defecto de ejecución remota de código en el núcleo de Drupal que podría provocar la ejecución de código PHP arbitrario en casos específicos. No hay suficientes detalles técnicos están disponibles sobre la vulnerabilidad. Lo que se sabe es que la falla se activa debido a que algunos tipos de campo no limpiar adecuadamente los datos procedentes de fuentes no forman. El error afecta a Drupal 7 y Drupal 8, el equipo dijo.
Un sitio web basado en Drupal sólo es explotable en caso de que los Servicios Web REST (descanso) módulo está habilitada permitiendo que solicita una ruta o POST. El fallo también se activa cuando otro módulo de servicio web está habilitada.
¿Cómo se puede mitigar CVE-2019-6340?
Para mitigar la vulnerabilidad, usuarios afectados pueden desactivar todos los módulos de servicios web, o configurar su servidor web(s) para no permitir peticiones PUT / PATCH / POST a los recursos de servicios web. Tenga en cuenta que los recursos de servicios web pueden estar disponibles en varias rutas dependiendo de la configuración del servidor correspondiente(s).
para Drupal 7, los recursos son, por ejemplo, suelen estar disponibles a través de caminos (URLs limpias) y a través de argumentos a la “q” argumento de consulta. para Drupal 8, caminos todavía pueden funcionar cuando el prefijo index.php /, el asesor dijo.
Otra ejecución de error de código remoto en Drupal, llamada Drupalgeddon2, fue explotada en octubre del año pasado. Un colectivo desconocido penal estaba tomando ventaja de un viejo error de seguridad en el seguimiento de asesoramiento CVE-2018-7600 que fue parcheado previamente en 2017. Este intento de intrusión se llama el ataque Drupalgeddon2 y de acuerdo con las investigaciones disponibles, que permitía a los hackers para explotar sitios vulnerables y tomar el control total, incluyendo el acceso a los datos privados.