Noticias

Vulnerabilidades de severidad crítica y alta en el Core de Drupal

Fecha de publicación: 

El equipo de seguridad de Drupal ha publicado tres avisos de seguridad sobre vulnerabilidades críticas y moderadamente críticas en el núcleo de Drupal, afectando a versiones anteriores a Drupal 10.3.13, 10.4.3, 11.0.12 y 11.1.3. Estas vulnerabilidades incluyen Cross Site Scripting (XSS), omisión de controles de acceso y una cadena de gadgets PHP (Gadget Chain), lo que podría permitir la ejecución remota de código en ciertas circunstancias. Se recomienda actualizar inmediatamente a las versiones más recientes de Drupal para mitigar estos riesgos.

Recursos afectados:

  • Para Drupal 10.3.x: actualizar a Drupal 10.3.13
  • Para Drupal 10.4.x: actualizar a Drupal 10.4.3
  • Para Drupal 11.0.x: actualizar a Drupal 11.0.12
  • Para Drupal 11.1.x: actualizar a Drupal 11.1.3

Además, se recuerda que todas las versiones de Drupal 10 anteriores a 10.3 han alcanzado su fin de vida y no recibirán más actualizaciones de seguridad. Lo mismo aplica para Drupal 8 y Drupal 9.

Análisis técnico:

Cross Site Scripting (XSS) - SA-CORE-2025-001

Drupal core no filtra adecuadamente los mensajes de error en ciertas circunstancias, lo que permite ataques de tipo XSS reflejado. Aunque no hay exploits documentados públicamente, es probable que surjan en el futuro debido a la naturaleza de la vulnerabilidad.

  • Vector: AC:Basic/A:None/CI:Some/II:Some/E:Proof/TD:All
    • Complejidad de acceso: Básica
    • Autentificación: Ninguna
    • Impacto en la confidencialidad: Moderado
    • Impacto en la integridad: Moderado
    • Exploit: Prueba de concepto
    • Distribución objetivo: Todos
  • Explotación: No detectada

Omisión de controles de acceso - SA-CORE-2025-002

Un error en el sistema de acciones del núcleo de Drupal permite que algunos usuarios modifiquen campos mediante acciones masivas sin los permisos adecuados.

  • Vector: AC:Basic/A:User/CI:Some/II:Some/E:Theoretical/TD:Default
    • Complejidad de acceso: Básica
    • Autentificación: Usuario
    • Impacto en la confidencialidad: Moderado
    • Impacto en la integridad: Moderado
    • Exploit: Teórico
    • Distribución objetivo: Por defecto
  • Explotación: No detectada

Gadget Chain - SA-CORE-2025-003

Drupal core contiene una vulnerabilidad potencial de inyección de objetos PHP que, en combinación con otra vulnerabilidad, podría permitir la inclusión arbitraria de archivos y, en casos extremos, la ejecución remota de código.

  • Vector: AC:Complex/A:Admin/CI:All/II:All/E:Theoretical/TD:Uncommon
    • Complejidad de acceso: Alta
    • Autentificación: Administrador
    • Impacto en la confidencialidad: Total
    • Impacto en la integridad: Total
    • Exploit: Teórico
    • Distribución objetivo: Poco común
  • Explotación: No detectada

Mitigación / Solución:

  • Si se está utilizando Drupal 10.3.x, actualizar a Drupal 10.3.13.
  • Si se está utilizando Drupal 10.4.x, actualizar a Drupal 10.4.3.
  • Si se está utilizando Drupal 11.0.x, actualizar a Drupal 11.0.12.
  • Si se está utilizando Drupal 11.1.x, actualizar a Drupal 11.1.3.
  • Todas las versiones de Drupal 10 anteriores a 10.3 han alcanzado su fin de vida y no recibirán más actualizaciones de seguridad.
  • Drupal 8 y Drupal 9 han llegado a su fin de vida y no recibirán actualizaciones de seguridad.

Referencias Adicionales