Inicio » Críticas Generales » Piratas a la Vista en Drupal

Piratas a la Vista en Drupal

Los sitios que ejecutan el sistema de administración de contenido de Drupal corren el riesgo de ser secuestrados hasta que están parcheados contra una vulnerabilidad que permite a los piratas informáticos ejecutar código malicioso de forma remota, advirtieron los gerentes del proyecto de código abierto el miércoles.

CVE-2019-6340, a medida que se rastrea el defecto, se debe a una falla en la validación suficiente de la opinión del usuario, dijeron los gerentes en un aviso. Los piratas informáticos que explotaron la vulnerabilidad podrían, en algunos casos, ejecutar el código de su elección en sitios web vulnerables. La falla está calificada como muy crítica.

«Algunos tipos de campos no sanean adecuadamente los datos de fuentes que no son formularios», indicó el aviso. «Esto puede llevar a la ejecución de código PHP arbitrario en algunos casos».

Drupal Pirates
Drupal Pirates

Para que un sitio sea vulnerable, se debe cumplir una de las siguientes condiciones:

Tiene habilitado el módulo de servicios web RESTful (resto) de Drupal 8 core y permite las solicitudes de PATCH o POST o
Tiene otro módulo de servicios web habilitado, como JSON: API en Drupal 8, o Servicios o Servicios web RESTful en Drupal 7
Los gerentes de proyecto instan a los administradores de sitios web vulnerables a que se actualicen a la vez. Para los sitios que ejecutan la versión 8.6.x, esto implica actualizar a 8.6.10 y los sitios que ejecutan 8.5.xo una actualización anterior a 8.5.11. Los sitios también deben instalar las actualizaciones de seguridad disponibles para los proyectos aportados después de actualizar el núcleo de Drupal. No se requiere una actualización central para Drupal 7, pero varios módulos aportados por Drupal 7 requieren actualizaciones.

Objetivo de piratería popular
Drupal es el tercer CMS más utilizado detrás de WordPress y Joomla. Los líderes del proyecto Drupal dijeron que el CMS a partir de este mes fue utilizado por aproximadamente 1,2 millones de sitios, pero también dicen que la estimación es «incompleta». Las fuentes externas, por ejemplo aquí y aquí, calculan que el uso de Drupal es del 3 por ciento al 4 por ciento de todos los sitios web que se ejecutan en CMS. CVE-2019-6340 solo afecta a un subconjunto desconocido de sitios de Drupal que los funcionarios del proyecto no pudieron estimar.

Si bien la cifra precisa es desconocida, los sitios vulnerables de Drupal se cuentan por miles, decenas de miles o posiblemente cientos de miles. Las fallas críticas en cualquier CMS son populares entre los piratas informáticos, ya que las vulnerabilidades se pueden desatar contra un gran número de sitios con un solo script, a menudo fácil de escribir.