Vulnerabilidad en el core de Drupal

INTRODUCCIÓN

La vulnerabilidad conocida como CVE-2022-39261, fue encontrada y corregida en Twig, una librería de terceros que es usada tanto por el diseñador como por el desarrollador al utilizar los principios de PHP y agregar una funcionalidad útil para los entornos de plantillas.

ANÁLISIS

Drupal advierte que los errores pueden afectar a algunos proyectos contribuidos o al código personalizado de los sitios Drupal. La vulnerabilidad CVE-2022-39261 fue causada por la validación inadecuada de la entrada del usuario por el cargador del sistema de archivos. Un atacante podría utilizar una plantilla especialmente diseñada que contenga una declaración source o include en el nombre para leer archivos arbitrarios desde fuera del directorio de plantillas cuando se utiliza un espacio de nombres como @somewhere/../some.file (en tal caso, la validación se omite).

Versiones afectadas:

Drupal >= 8.0.0 < 9.3.22 Drupal >= 9.4.0 < 9.4.7

RECOMENDACIONES

Instalar las últimas versiones:

• Si se está usando Drupal 9.4, actualizar a Drupal 9.4.7.
• Si se está usando Drupal 9.3, actualizar a Drupal 9.3.22.

REFERENCIAS

https://www.drupal.org/sa-core-2022-016
https://securityonline.info/cve-2022-39261-twig-directory-traversal-flaw-affects-drupal-core/?utm_source=dlvr.it&utm_medium=twitter
https://nvd.nist.gov/vuln/detail/CVE-2022-39261