En su más reciente alerta de seguridad, el equipo detrás de Drupal informó el hallazgo de un conjunto de vulnerabilidades severas en una biblioteca de terceros. Según los informes, la explotación exitosa de las fallas permitiría a los actores de amenazas secuestrar de forma remota cualquier sitio web usando la tecnología de este sistema de gestión de contenido (CMS).
Las fallas fueron identificadas como CVE-2022-31042 y CVE-2022-31043 y residen en Guzzle, una biblioteca de terceros que Drupal usa para la administración de solicitudes HTTP y responder a servicios externos: “Estos problemas no afectan al núcleo de Drupal, pero pueden afectar algunos proyectos contribuidos o código personalizado en los sitios de Drupal”.
Debido a que Guzzle ya ha publicado algunos detalles sobre las fallas, Drupal consideró pertinente publicar un nuevo informe al respecto. Además, es probable que existan otras fallas en módulos personalizados que usan Guzzle para las solicitudes salientes.
Guzzle asignó puntajes de alto riesgo a estas fallas, mientras Drupal advierte que los errores pueden afectar algunos proyectos contribuidos o código personalizado en los sitios de Drupal: “La explotación de estos problemas permitiría a los atacantes remotos tomar control de un sitio web afectado”.
Guzzle emitió avisos independientes que documentan los errores como una falla durante la eliminación del encabezado de la cookie en el cambio de host o en la degradación de HTTP y una falla en eliminar el encabezado de autorización en la degradación de HTTP. El equipo de seguridad recomienda a sus usuarios que instalen las últimas versiones (Drupal 9.2 a Drupal 9.4). Es importante tener en cuenta que todas las versiones de Drupal 9 anteriores a la 9.2.x están al final de su ciclo de vida y no recibirán actualizaciones.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).