Los sitios basados ​​en Drupal se abren al ataque a través de archivos de doble extensión

Se insta a los administradores de sitios que se ejecutan en Drupal a tapar un agujero de seguridad crítico (CVE-2020-13671) que los atacantes pueden aprovechar para apoderarse de los sitios vulnerables. CVE-2020-13671 existe porque el núcleo de Drupal (la versión estándar de Drupal) no desinfecta correctamente ciertos nombres de archivo en los archivos cargados. Un […]

Se insta a los administradores de sitios que se ejecutan en Drupal a tapar un agujero de seguridad crítico (CVE-2020-13671) que los atacantes pueden aprovechar para apoderarse de los sitios vulnerables.

CVE-2020-13671 existe porque el núcleo de Drupal (la versión estándar de Drupal) no desinfecta correctamente ciertos nombres de archivo en los archivos cargados.

Un archivo malicioso con una extensión doble (por ejemplo, php.txt ) podría “interpretarse como la extensión incorrecta y servir como el tipo MIME incorrecto o ejecutarse como PHP para ciertas configuraciones de alojamiento”, señaló el equipo de seguridad de Drupal.

Han proporcionado actualizaciones de seguridad con la solución y han recomendado a los administradores actualizar a la versión 9.0.8, 8.9.9, 8.8.11 o 7.74 de Drupal, según la rama de Drupal que estén usando actualmente.

El equipo no dijo que estaban al tanto de que la vulnerabilidad se estaba explotando activamente, pero recomendó a los administradores que auditaran todos los archivos cargados previamente para verificar si hay extensiones maliciosas.

“Busque específicamente archivos que incluyan más de una extensión, como nombre de archivo.php.txt o nombre de archivo.html.gif , sin un guión bajo (_) en la extensión. Preste especial atención a las siguientes extensiones de archivo, que deben considerarse peligrosas incluso cuando van seguidas de una o más extensiones adicionales: phar , php , pl , py , cgi , asp , js , html , htm , phtml . Esta lista no es exhaustiva, así que evalúe las preocupaciones de seguridad de otras extensiones no comunicadas caso por caso ”, aconsejaron .

Los sitios basados ​​en Drupal forman un gran objetivo

Drupal es un sistema de gestión de contenido gratuito y de código abierto, y es el cuarto CMS más utilizado después de WordPress, Shopify y Joomla.

Pero aunque la cantidad de sitios que dependen de Drupal es mucho, mucho menor que la cantidad de sitios basados ​​en WordPress, todavía supera el millón.

Los administradores también deben tener en cuenta que, si bien Drupal v7.x aún se mantiene y recibe actualizaciones de seguridad, llegará al final de su vida útil en noviembre de 2021, por lo que se insta a quienes lo usan a comenzar a planificar la actualización a una versión más nueva, preferiblemente 9.x.