Descubren vulnerabilidad de RCE en Drupal

22 Febrero 2019
Crítico

El software de gestión de contenido Drupal lanzó una actualización para corregir una vulnerabilidad de ejecución remota de código (RCE) PHP en Drupal Core, que podría permitir a un atacante remoto hackear millones de sitios web.

Un sitio web basado en Drupal sólo es vulnerable si sus módulos de servicios web RESTful u otros, están habilitados

El fallo crítico, que fue descubierto y reportado por el investigador Samuel Mortenson afecta a Drupal 7 y 8 Core.

Se recomienda lo siguiente:

- Si el sitio web usa Drupal 8.6.x, actualizar a la versión 8.6.10.

- Si el sitio web usa Drupal 8.5.xo o una versión anterior, actualizar a la versión 8.5.11

- Si no se puede actualizar de inmediato, la vulnerabilidad se puede mitigar deshabilitando todos los módulos de servicio web o configurando el servidor web para que éste no permita solicitudes PUT / PATCH / POST a los recursos de servicios web.

El listado de las CVE se adjunta a continuación:


Tags: #drupal #drupalcore #rce #codigophp #sitioweb
  • Productos Afectados
  • Producto Versión
    Drupal Core 7
    8


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.