InnoTec

Languaje

Wednesday, 25 March 2020 12:22

Vulnerabilidades en Joomla y Drupal

El CERT de Entelgy Innotec Security avisa de vulnerabilidades en los gestores de contenido Joomla y Drupal.

Nivel de Criticidad: CRÍTICO Y ALTO

Joomla!, gestor de contenido (CMS) que permite desarrollar sitios web dinámicos e interactivos, ha hecho públicos avisos de seguridad que resuelven tres vulnerabilidades, una de ellas crítica, y las dos restantes con una severidad alta. 

Por otra parte, Drupal, gestor de contenido (CMS) libre, ​ modular, multipropósito y muy configurable, también ha hecho público un aviso de seguridad que resuelve vulnerabilidades críticas en una librería concreta de la que Drupal hace uso. 

A continuación, se exponen los detalles de las vulnerabilidades de cada uno:

  • JOOMLA!
    • CVE-2020-10243: Se ha descubierto que no se realizan correctamente las conversiones de tipo de las variables en las instrucciones SQL, lo que conduce a una vulnerabilidad de inyección SQL en el menú frontal de "Artículos destacados". La base de datos del NIST ha calificado esta vulnerabilidad como crítica con una puntuación de 9.8 (CVSSv3) ya que un posible ataque puede realizarse de forma remota, con una complejidad baja, sin privilegios elevados, sin interacción por parte de un usuario y produciría un impacto alto en la confidencialidad, integridad y disponibilidad.
    • CVE-2020-10239: Existe un control de acceso incorrecto en el campo SQL ubicado en com_fields que permite el acceso a usuarios que no son superadmin. La base de datos del NIST ha calificado esta vulnerabilidad como alta con una puntuación de 8.8 (CVSSv3) con las mísmas características del anterior CVE.
    • CVE-2020-10238: Problema descubierto en ciertas versiones de Joomla! anteriores a la 3.9.16. Varias de las acciones permitidas en com_templates carecen de las comprobaciones ACL requeridas, lo que lleva a varios vectores de ataque potenciales. La base de datos del NIST ha calificado esta vulnerabilidad como alta con una puntuación de 7.5 (CVSSv3) con las mísmas características de los anteriores CVEs, a excepción de que en este caso sólo se produciría un impacto alto en la confidencialidad. 

Por el momento no se tiene conocimiento de reportes sobre una posible explotación activa por parte de ciberdelincuentes que aproveche estas vulnerabilidades. Referente al CVE-2020-10243 se ha localizado una prueba de concepto que, según el investigador autor de la misma, hará pública el próximo 10 de abril.

  • DRUPAL
    • SA-CORE-2020-001: Drupal utiliza la librería de terceros CKEditor que da la posibilidad de contar con un editor HTML del tipo WYSIWYG (What You See Is What You Get) con el fin de facilitar el diseño web a los usuarios de la plataforma. En concreto existen dos vulnerabilidades en CKEditor del tipo Cross Site Scripting (XSS) que pueden permitir a atacantes remotos ejecutar secuencias de comandos web arbitrarias dentro de un elemento IFRAME, mediante la inyección de un elemento HTML diseñado en el editor. La explotación de las vulnerabilidades es posible siempre y cuando Drupal esté configurado para que los usuarios de un sitio web (incluidos los administradores del sitio con acceso privilegiado) tengan permitido el uso de CKEditor

Por el momento no se tiene conocimiento de reportes sobre una posible explotación activa por parte de ciberdelincuentes que aproveche estas vulnerabilidades, ni la disponibilidad de exploits o pruebas de concepto sobre los fallos en CKEditor. La base de datos del NIST por el momento tampoco ha registrado ningún CVE que identifique las vulnerabilidades respecto al CMS Drupal, no obstante, sí que se encuentran registrados CVEs sobre las vulnerabilidades concretas en la librería CKEditor:

Drupal ha calificado las vulnerabilidades como “moderadamente críticas”. 

Recursos afectados:

  • DRUPAL
    • Drupal 8.8.x
    • Drupal 8.7.x

Es importante destacar que las versiones de Drupal 8 anteriores a la 8.7.x han llegado al final de su vida útil y a día de hoy no reciben ningún tipo de soporte ni actualizaciones.

Solución a la vulnerabilidad

  • JOOMLA!: En todos los casos expuestos se debe actualizar a la versión 3.9.16 del gestor de contenido Joomla! para solucionar las vulnerabilidades descritas. La actualización se encuentra disponible desde el siguiente enlace:
  • DRUPAL: Drupal ha implementado mejoras en sus últimas versiones que actualizan la librería CKEditor a su versión 4.14. Por lo tanto, para solucionar las vulnerabilidades se deben aplicar las siguientes actualizaciones:

Recomendaciones

El CERT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

En el caso de Drupal, en caso de no poder aplicar las actualizaciones descritas, se recomienda deshabilitar el módulo CKEditor.

Respecto a los posibles usuarios de Drupal 7, el fabricante confirma que esta versión no se encuentra afectada por las vulnerabilidades, pero puede darse la situación de que la librería CKEditor se haya instalado de manera manual y se esté haciendo uso de ella. En ese caso Drupal recomienda actualizar cuanto antes a CKEditor 4.14 o superior, o bien que las URL de CDN apunten a una versión de CKEditor 4.14 o superior.

Referencias

 

Read 216 times

Avda. Llano Castellano, 43
28034 Madrid
+34 917 281 504
innotec.security


InnoTec

About us

InnoTec was founded in 2012. Specialized in cybersecurity, intelligence and risk management, we employ worldwide over 350 highly qualified professionals. Based in Spain, we have offices in the US and the main Latam markets.

More information
Corporate presentation