Especialistas en ciberseguridad reportan el hallazgo de al menos tres vulnerabilidades de seguridad en Drupal, un sistema de gestión de contenidos (CMS) de código abierto, modular y con múltiples características adicionales, ampliamente utilizado por propietarios de sitios web de todo tipo. Acorde al reporte, la explotación exitosa de estas fallas podría llevar a escenarios maliciosos como ataques de falsificación de solicitudes entre sitios, entre otros.
A continuación se presentan breves reseñas de las fallas reportadas, además de sus respectivas claves de identificación y puntajes según el Common Vulnerability Scoring System (CVSS).
CVE-2020-13663: La insuficiente validación de las entradas proporcionadas por el usuario permitiría a los hackers desplegar ataques de falsificación de solicitudes entre sitios (XSRF). Un actor de amenazas remoto podría enviar solicitudes HTTP especialmente diseñadas para engañar a Drupal e iniciar solicitudes arbitrarias.
Esta vulnerabilidad puede ser explotada por un atacante remoto no autenticado a través de Internet, aunque no se han detectado intentos de ataque en escenarios reales. La falla recibió un puntaje de 5.1/10, convirtiéndose en una vulnerabilidad de severidad media.
CVE-2020-13664: Una validación insuficiente del origen de las solicitudes HTTP permitiría el despliegue de ataques XSRF. Un actor de amenazas remoto puede engañar a un usuario para que visite una página web especialmente diseñada para generar un directorio en el sistema de archivos. Esto podría ser empleado por los hackers para realizar ataques de fuerza bruta en el sistema objetivo; los sistemas Windows son más propensos a este ataque, mencionan los expertos en ciberseguridad.
Esta falla también podría ser explotada por un atacante remoto no autenticado a través de Internet, aunque no se han detectado intentos de explotación activa. La falla recibió un puntaje de 7.7/10, convirtiéndose en una vulnerabilidad de alta severidad.
CVE-2020-13665: La validación insuficiente de las entradas suministradas por el usuario al procesar solicitudes JSON: API PATCH permitirían a los hackers desplegar ataques de denegación de servicio (DDoS). Un atacante remoto puede pasar una entrada especialmente diseñada a la aplicación y evitar las restricciones de seguridad implementadas.
Del mismo modo que los casos anteriores, esta vulnerabilidad puede ser explotada por un atacante remoto no autenticado a través de Internet, aunque no se han detectado intentos de ataque en escenarios reales. La falla recibió un puntaje de 4.9/10, convirtiéndose en una vulnerabilidad de severidad media.
Las actualizaciones ya están disponibles, por lo que los administradores de versiones vulnerables ya pueden actualizar a versiones corregidas de Drupal.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.