Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en el núcleo de Drupal

Fecha de publicación 18/06/2026
Identificador
INCIBE-2026-439
Importancia
5 - Crítica
Recursos Afectados

Drupal core

  • Todas las versiones anteriores a 10.5.12;
  • Desde 10.6.0 hasta 10.6.10 (incluidas);
  • Todas las versiones 11.0.x;
  • Todas las versiones 11.1.x;
  • Desde 11.2.0 hasta 11.2.13 (incluidas);
  • Desde 11.3.0 hasta 11.3.11 (incluidas).
Descripción

Drupal ha publicado 5 vulnerabilidades: 1 de severidad crítica, 3 de severidad alta y 1 de severidad media que, en caso de ser explotadas, podría permitir a un atacante inyectar objetos PHP, subir cualquier tipo de archivo o realizar solicitudes del lado del servidor.

Solución

Según la versión del producto de la que se disponga, actualizar a alguna de las siguientes versiones:

  • Drupal 11.3.x: 11.3.12.
  • Drupal 11.2.x: 11.2.14.
  • Drupal 10.6.x: 10.6.11.
  • Drupal 10.5.x: 10.5.12.

Las versiones Drupal 11.1.x, Drupal 11.0.x, Drupal 10.4.x y anteriores han llegado al final de su ciclo de vida y no reciben soporte de seguridad. 

Detalle
  • CVE-2026-55803: un atacante con los permisos de escritura adecuados para JSON:API podría, en ciertas circunstancias excepcionales, inyectar código malicioso, lo que podría resultar en una inyección de objetos PHP.
  • CVE-2026-55804: el núcleo de Drupal contiene una cadena de métodos que podrían ser explotados si existe una vulnerabilidad de deserialización insegura en el sitio. Esta denominada "cadena de gadgets" no representa una amenaza directa, pero es un vector que puede utilizarse para lograr la ejecución remota de código o la inyección SQL si la aplicación deserializa datos no confiables debido a otra vulnerabilidad.
  • CVE-2026-55807: el código de detección de URL podría utilizarse para engañar a Drupal y hacer que realice solicitudes del lado del servidor a cualquier URL.
  • CVE-2026-55808: Las reglas de validación comprueban la extensión del archivo subido, pero no su tipo MIME. Esto podría permitir que un usuario malintencionado suba un archivo que no sea una imagen.
  • CVE-2026-55806: El núcleo de Drupal incluye un controlador frontal que se puede utilizar para reconstruir Drupal (borrando las cachés y reconstruyendo el contenedor) cuando el sitio se encuentra en una condición inesperada «rebuild.php». Este script no verifica correctamente el encabezado Host con la lista de patrones de host de confianza. Esto podría provocar un envenenamiento de la caché o una redirección a un dominio controlado por un atacante.
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-55803 Crítica No Drupal
CVE-2026-55804 Alta No Drupal
CVE-2026-55807 Alta No Drupal
CVE-2026-55808 Alta No Drupal
CVE-2026-55806 Media No Drupal
Listado de referencias
Drupal core - Critical - PHP object injection - SA-CORE-2026-005
Drupal core - Moderately critical - Improper validation - SA-CORE-2026-009
Drupal core - Moderately critical - Server-side request forgery - SA-CORE-2026-008
Drupal core - Moderately critical - Gadget chain - SA-CORE-2026-006
Drupal core - Less critical - Cache poisoning and open redirect - SA-CORE-2026-007
Etiquetas