Alertas

Nuevas vulnerabilidades en Drupal (CVE-202231042, CVE-2022-31043)

Investigadores de seguridad han descubierto dos vulnerabilidades en la librería de terceros utilizada en Drupal (Guzzel). A estas vulnerabilidades se les ha asignado el identificador CVE-2022-31042 y CVE-2022-31043 y son vulnerabilidades de alta gravedad que podrían permitir a atacantes remotos obtener información sensible en los sistemas afectados.
15 Jun 2022
1 Minutos de lectura

ANÁLISIS

Drupal utiliza Guzzle para manejar las peticiones y respuestas HTTP a servicios externos. Técnicamente, este fallo no afecta a Drupal Core. Sin embargo, algunos proyectos contribuidos o código personalizado en los sitios web de Drupal pueden verse afectados. Esto podría permitir a los atacantes remotos obtener información sensible de los sistemas afectados. 

Ambos fallos son lo suficientemente sencillos de explotar como para que baste con una petición HTTP especialmente diseñada.

CVE-2022-31042:
 Lo ideal es que siempre que haya una redirección a un host en las peticiones y en el caso de la bajada HTTP, se eliminen las cabeceras de las cookies en la respuesta reenviada. Las cookies gestionadas por el servicio de middleware de Guzzel eliminarían las cabeceras de las cookies antes de reenviar la solicitud. Sin embargo, las cabeceras de cookies añadidas manualmente no se eliminarían. Puntuación CVSS: 7,5.

CVE-2022-31043:
 Idealmente, siempre que se produzca una redirección a un host en las peticiones y en el caso de bajada HTTP, deberían eliminarse las cabeceras de autorización en la respuesta reenviada. Antes de esta corrección, las reducciones de HTTPS a HTTP no provocaban la eliminación de la cabecera de autorización, sino sólo los cambios en el host. Puntuación CVSS: 7,5.

Versiones de Drupal afectadas:

9.2.0 a 9.2.20
9.3.0 a 9.3.15
9.4.0 rc1

Versiones de Guzzle afectadas:

< 6.5.7
< 7.4.4

RECOMENDACIONES

Las versiones de Drupal 8 a 9.2 están marcadas como descontinuadas y no se publicarán actualizaciones. Los usuarios de Drupal 7 no están afectados ya que la v7 se ve afectada por estos fallos.

Utilice estos comandos para instalar o actualizar Drupal a las versiones recomendadas:

  • Actualice su sitio web y todas las dependencias a la última versión de Drupal: 

composer update "drupal/core-*" --with-all-dependencies

  • Actualice su sitio web a la versión 9.2.21:

$ composer require drupal/core-recomendado:9.2.21 drupal/core-composer-scaffold:9.2.21 drupal/core-project-message:9.2.21 --update-with-all-dependencies

  • Actualice su sitio web a la versión 9.3.16:

$ composer require drupal/core-recommended:9.3.16 drupal/core-composer-scaffold:9.3.16 drupal/core-project-message:9.3.16 --update-with-all-dependencies

  • Actualice su sitio web a la versión 9.4.0-rc2:

$ composer require drupal/core-recomendado:9.4.0-rc2@RC drupal/core-composer-scaffold:9.4.0-rc2@RC drupal/core-project-message:9.4.0-rc2@RC --update-with-all-dependencies

REFERENCIAS

https://thesecmaster.com/how-to-fix-cve-2022-310423-high-severity-sensitive-information-discloser-vulnerabilities-in-drupal/
https://github.com/guzzle/guzzle/security/advisories/GHSA-f2wf-25xc-69c9
https://github.com/guzzle/guzzle/security/advisories/GHSA-w248-ffj2-4v5q

516 visitas