Remediaciones emergentes para error crítico con exploits conocidos
AS-35-2020
Fecha: 01/Dic/2020
Resumen:
Drupal ha publicado actualizaciones de seguridad de emergencia para abordar una vulnerabilidad crítica con exploits conocidos que podrían permitir la ejecución arbitraria de código PHP en algunas versiones de CMS. De acuerdo con el calendario regular de la ventana de lanzamiento de seguridad, el 25 de noviembre no sería típicamente una ventana de seguridad principal, dijo Drupal.
En este momento, más de 944.000 sitios web están utilizando versiones vulnerables de Drupal de un total de 1.120.941 según estadísticas oficiales.
Drupal también es utilizado por el 2,5% de todos los sitios web con sistemas de gestión de contenidos, es el cuarto CMS más popular en Internet, después de WordPress (63,8%), Shopify (5,1%) y Joomla (3,6%).
Solución: Drupal recomienda instalar las siguientes actualizaciones en los servidores afectados:
- Drupal 9.0 actualizar a Drupal 9.0.9
- Drupal 8.9 actualizar a Drupal 8.9.10
- Drupal 8.8 actualizar a Drupal 8.8.12
- Drupal 7 actualizar a Drupal 7.75
Referencias:
https://us-cert.cisa.gov/ncas/current-activity/2020/11/27/drupal-releases-security-updates
https://www.helpnetsecurity.com/2020/11/27/cve-2020-28948-cve-2020-28949/
https://securityaffairs.co/wordpress/111582/security/drupal-php-code-execution.html
https://www.securityweek.com/drupal-releases-out-band-security-updates-due-availability-exploits
Informado al CSIRT-EPN por el First
