Vulnerabilidad en el core de Drupal

Fecha de publicación
29/09/2022
Importancia
4 - Alta
Recursos Afectados

Versiones del core de Drupal:

  • desde 8.0.0 hasta la anterior a 9.3.22;
  • desde 9.4.0 hasta la anterior a 9.4.7.
Descripción

Se ha notificado una vulnerabilidad de severidad alta en el core de Drupal 8 y 9, que podría permitir a un atacante leer el contenido de archivos privados o credenciales de bases de datos.

Solución

Actualizar a Drupal 9.4.7 o 9.3.22, según la versión afectada

Detalle

La librería Twig, empleada en el core de Drupal, ha publicado un aviso para informar de una vulnerabilidad. Un atacante podría acceder a escribir código en Twig, incluyendo el acceso de lectura no autorizado a archivos privados, así como otros archivos en el servidor, o las credenciales de la base de datos. La explotación en el core de Drupal solo es posible con un permiso administrativo de acceso restringido. Se ha asignado el identificador CVE-2022-39261 para esta vulnerabilidad.

Encuesta valoración

Ir arriba