Detectan múltiples vulnerabilidades de seguridad en uno de los gestores de contenidos online más usados

• Las vulnerabilidades de seguridad "muy críticas" que se han detectado en las últimas semanas en Drupal afectan tanto al núcleo del gestor de contenidos como a varios módulos externos.
• Este fallo podría permitir que un atacante ejecutara código externo en el gestor de contenidos de la víctima y, de este modo, modificar la página o actuar sobre la base de datos.
• Drupal ya ha emitido actualizaciones para corregir estos agujeros de seguridad en distintas versiones de este popular CMS.

Drupal es uno de los principales gestores de contenidos (CMS) en el mundo, con permiso de Wordpress o Joomla. Semejante popularidad tiene elementos positivos (como una gran comunidad de desarrolladores que trabajan sobre este motor) pero también consecuencias menos deseables.

Entre estas últimas hemos de incluir las vulnerabilidades de seguridad "muy críticas" que se han detectado en las últimas semanas y que acaban de ser corregidas por Drupal. Fallos que afectan al núcleo del gestor y también a varios módulos externos (de web services), motivados al no validar correctamente los datos de entrada en algunos formularios web.

Según ha detallado el INCIBE en una alerta de seguridad, esto podría permitir que un atacante ejecutara código externo en el gestor de contenidos de la víctima y, de este modo, modificar la página o actuar sobre la base de datos.

Leer más: Qué es el Esquema Nacional de Seguridad y cómo protege nuestro ciberespacio

En concreto, las versiones de este CMS afectadas son Drupal 8 con el módulo RESTful Web Services (rest) habilitado y que permita peticiones PATCH o POST, Drupal 8 con algún otro módulo de web services habilitado como JSON: API, y Drupal 7 con algún otro módulo de web services habilitado como Services o RESTful Web Services.

Como decimos, los agujeros de seguridad ya han sido corregidos por Drupal mediante varios parches: en caso de usar Drupal 8.6.X se necesita actualizar a Drupal 8.6.10, mientras que si está corriendo bajo Drupal 8.5.X o anterior se requiere la actualización a Drupal 8.5.11. Asimismo, recuerdan los expertos del INCIBE, si la versión en ejecución es Drupal 7 no es necesario actualizar el núcleo, pero sí corregir los módulos externos de web services.

"Antes de realizar la actualización del gestor de contenidos Drupal, se ha de realizar una copia de seguridad de la base de datos y de todos los ficheros que componen el sitio web, incluida una copia del fichero de configuración del portal. Se deberá comprobar que se ha realizado la copia de seguridad correctamente y que podemos recuperarla", reza el aviso del organismo público. "Cuando se instala Drupal, se puede configurar el servicio de comprobación automática de actualizaciones, de tal forma que es el propio portal de Drupal el que nos avisa de la existencia de nuevas actualizaciones".