Solo un conjunto limitado de sitios web que se ejecutan en Drupal CMS se ven afectados de acuerdo con el aviso de seguridad dado que el problema de seguridad solo afecta a la versión Drupal 8.7.4, con Drupal 8.7.3 y versiones anteriores, Drupal 8.6.xy versiones anteriores, y Drupal 7 .x no se ve afectado.
«En Drupal 8.7.4, cuando el módulo experimental Workspaces está habilitado, se crea una condición de derivación de acceso», dice el equipo de Drupal.
Drupal 8.7.5 parchea la vulnerabilidad de omisión de acceso
La versión Drupal 8.7.5 se emitió hoy para corregir el error de omisión de acceso rastreado como CVE-2019-6342 , lo que permite a los administradores parchear rápidamente sus servidores para protegerlos de posibles ataques.
Más importante aún, según el equipo de desarrollo de Drupal, la solución SOLO se aplicará a los sitios web afectados donde se está ejecutando update.php; este es un paso manual obligatorio cuando se actualiza a Drupal 8.7.5.
Para los sitios con el módulo de espacios de trabajo habilitado, se debe ejecutar update.php para garantizar que se borre la memoria caché requerida. Si hay un caché de proxy inverso o una red de entrega de contenido (por ejemplo, Varnish, CloudFlare), también es aconsejable borrarlos. – El equipo de Drupal
La actualización a la 8.7.5 es muy importante dado que los atacantes pueden aprovechar la vulnerabilidad visitando una URL y no se requiere ningún nivel de registro o autenticación para abusar de los sitios web afectados.
Afortunadamente, un exploit para esta vulnerabilidad aún no está disponible, sin embargo, en el caso de que se desarrolle, la mayoría de los sitios que se ejecutan en Drupal 8.7.4 estarán expuestos a ataques dado que «las configuraciones de módulos comunes o predeterminadas son explotables».
Medidas de mitigación disponibles
Las medidas de mitigación también están disponibles para los administradores que no pueden actualizar inmediatamente la instalación de Drupal en sus servidores, y la forma más sencilla de hacerlo es deshabilitar el módulo Workspaces para los sitios afectados.
La Agencia de Seguridad de la Ciberseguridad e Infraestructura (CISA) del Departamento de Seguridad Nacional también emitió una alerta instando a los administradores y usuarios de Drupal a actualizar a la versión parcheada Drupal 8.7.5.
En este momento, aproximadamente 290,958 sitios web están utilizando Drupal 8.x de un total de 1,093,220 de acuerdo con los números oficiales disponibles en la página «Estadísticas de uso para el núcleo de Drupal» .
«Estas estadísticas están incompletas; solo los sitios web de Drupal que usan el módulo Estado de actualización se incluyen en los datos. Este módulo se ha incluido con la descarga de Drupal desde la versión 6.x, por lo que los datos no incluyen sitios más antiguos», agrega Drupal.
Además, Drupal es utilizado por el 1.8% de todos los sitios web con sistemas de gestión de contenido (CMS) rastreados por W3Techs, lo que lo convierte en el tercer CMS más popular en Internet, después de WordPress (34.2%) y Joomla (2.8%).
Fuente: bleepingcomputer.com