Vulnerabilidad crítica en el gestor de contenidos Drupal

El Equipo de Respuesta a incidentes del Centro Criptológico Nacional, CCN-CERT ha alertado sobre la necesidad de actualizar todos aquellos sitios web que cuenten con Drupal como gestor de contenidos (CMS). Esta recomendación viene precedida de la publicación de una vulnerabilidad crítica en Drupal (versiones 6x, 7x y 8x) que permite a un atacante ejecutar código en la página web que emplee este gestor de contenido (CMS) y tomar el control de la misma, así como acceder al servidor utilizado. 

El equipo de Drupal (uno de los gestores de contenidos más utilizados en la actualidad, presente en más de un millón de sitios web de todo el mundo) ha publicado una actualización que corrige esta vulnerabilidad por lo que se recomienda implantar inmediatamente el parche para evitar quedar expuestos a posibles exploits.

Vulnerabilidad
La vulnerabilidad, cuyo identificador es CVE-2018-7600, afecta a las versiones de Drupal 7x y 8x, así como a Drupal 6 (fuera de soporte desde el año 2016) y que permite a un atacante ejecutar código en la página web que emplee este gestor de contenido (CMS) y tomar el control de la misma, así como acceder al servidor utilizado. 
Los propios desarrolladores de esta plataforma ya informaron el pasado 21 de marzo de la existencia de este fallo y confirmaron que estaban preparando una actualización que lo solucionara para este miércoles, 28 de marzo, como así ha sido.

Medidas de mitigación

Para evitar estar expuestos es necesario la instalación inmediata de la versión más reciente del Drupal:

  • Si utiliza Drupal 8.3.x, actualice a la versión 8.3.9 (recuerde que esto son versiones ya no compatibles)
  • Si utiliza Drupal 8.4.x, actualice a la versión 8.4.6 (recuerde que esto son versiones ya no compatibles)
  • Si utiliza Drupal 8.5.x, actualice a la versión 8.5.1
  • Si utiliza Drupal 7.x, actualice a la versión 7.58
  • Si utiliza Drupal 6.x contacte con un mantenedor de Drupal 6 LTS.


Asimismo, el CCN-CERT recomienda realizar una copia de seguridad de seguridad de la base de datos y de todos los ficheros que componen el sitio web, incluida una copia del fichero de configuración del portal.

Más información

Drupal

Ministerio de Defensa
CNI
CCN
CCN-CERT