esenfrdeitptru

Remediaciones emergentes para error crítico con exploits conocidos

AS-35-2020

Fecha: 01/Dic/2020

Resumen:

Drupal ha publicado actualizaciones de seguridad de emergencia para abordar una vulnerabilidad crítica con exploits conocidos que podrían permitir la ejecución arbitraria de código PHP en algunas versiones de CMS. De acuerdo con el calendario regular de la ventana de lanzamiento de seguridad, el 25 de noviembre no sería típicamente una ventana de seguridad principal, dijo Drupal.

En este momento, más de 944.000 sitios web están utilizando versiones vulnerables de Drupal de un total de 1.120.941 según estadísticas oficiales.

Drupal también es utilizado por el 2,5% de todos los sitios web con sistemas de gestión de contenidos, es el cuarto CMS más popular en Internet, después de WordPress (63,8%), Shopify (5,1%) y Joomla (3,6%).

Solución: Drupal recomienda instalar las siguientes actualizaciones en los servidores afectados:

  • Drupal 9.0 actualizar a Drupal 9.0.9
  • Drupal 8.9 actualizar a Drupal 8.9.10
  • Drupal 8.8 actualizar a Drupal 8.8.12
  • Drupal 7 actualizar a Drupal 7.75

Referencias:

https://www.bleepingcomputer.com/news/security/drupal-issues-emergency-fix-for-critical-bug-with-known-exploits/

https://www.drupal.org/sa-core-2020-013

https://us-cert.cisa.gov/ncas/current-activity/2020/11/27/drupal-releases-security-updates

https://www.helpnetsecurity.com/2020/11/27/cve-2020-28948-cve-2020-28949/

https://securityaffairs.co/wordpress/111582/security/drupal-php-code-execution.html

https://www.securityweek.com/drupal-releases-out-band-security-updates-due-availability-exploits

 

Informado al CSIRT-EPN por el First