Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en el core de Drupal

Fecha de publicación 13/11/2025
Identificador
INCIBE-2025-0630
Importancia
4 - Alta
Recursos Afectados
  • Versiones desde la 8.0.0 hasta la 10.4.9 (no incluida);
  • Versiones desde la 10.5.0 hasta la 10.5.6 (no incluida);
  • Versiones desde la 11.0.0 hasta la 11.1.9 (no incluida);
  • Versiones desde la 11.2.0 hasta la 11.2.8 (no incluida).
Descripción

Drupal ha publicado 4 vulnerabilidades de severidad alta que afectan a su núcleo y que de ser explotadas podrían permitir que las solicitudes legítimas reciban respuestas almacenadas en caché inapropiadas, ejecución remota de código, desfigurar el sitio o provocar que algunos usuarios obtengan versiones almacenadas en caché de archivos con información a la que no deberían tener acceso.

Solución

Actualizar a las versiones:

  • 10.4.9
  • 10.5.6
  • 11.1.9
  • 11.2.8

Drupal 11.0.x, Drupal 10.3.x y versiones anteriores han llegado al final de su ciclo de vida y no reciben cobertura de seguridad.

Detalle
  • CVE-2025-13080: esta vulnerabilidad de tipo envenenamiento de caché podría explotarse realizando un renderizado incorrecto de algunas páginas, disponiendo de páginas sin estilo o con formato incorrecto o impactando negativamente en la funcionalidad del lado del cliente.
  • CVE-2025-13081: el núcleo de Drupal contiene una cadena de métodos que se puede explotar cuando existe una vulnerabilidad de deserialización insegura en el sitio. Esto, que se conoce como "cadena de gadgets", no presenta una amenaza directa, pero es un vector que se puede usar para lograr la ejecución remota de código si la aplicación deserializa datos no confiables debido a otra vulnerabilidad.
  • CVE-2025-13082: Al generar y engañar a un usuario para que visite una URL maliciosa, un atacante puede desfigurar el sitio. La desfiguración no se almacena y solo está presente cuando la URL se ha creado para ese propósito.
  • CVE-2025-13083: El módulo principal 'system' gestiona las descargas de archivos privados y temporales. En algunos casos, los archivos pueden servirse con el encabezado HTTP de control de caché público ("Cache-Control: Public") cuando no deberían poder almacenarse en la caché. Esto puede provocar que algunos usuarios obtengan versiones almacenadas en caché de archivos con información a la que no deberían tener acceso. Por ejemplo, los archivos pueden ser almacenados en caché por Varnish o una CDN.
CVE
Explotación
No
Fabricante
drupal
Identificador CVE
CVE-2025-13080
Severidad
Alta
Explotación
No
Fabricante
drupal
Identificador CVE
CVE-2025-13081
Severidad
Alta
Explotación
No
Fabricante
drupal
Identificador CVE
CVE-2025-13082
Severidad
Alta
Explotación
No
Fabricante
drupal
Identificador CVE
CVE-2025-13083
Severidad
Alta
Listado de referencias
Drupal core - Moderately critical - Denial of Service - SA-CORE-2025-005
Drupal core - Moderately critical - Gadget chain - SA-CORE-2025-006
Drupal core - Moderately critical - Defacement - SA-CORE-2025-007
Drupal core - Moderately critical - Information disclosure - SA-CORE-2025-008
Etiquetas