Tres nuevos avisos de seguridad
Índice
- Múltiples vulnerabilidades en la consola Unified OSS de HPE
- Desbordamiento de búfer en NGINX
- Actualización de seguridad crítica en Drupal
Múltiples vulnerabilidades en la consola Unified OSS de HPE
Consola HPE Unified OSS (UOC): versión 3.1.20 y anteriores.
HPE ha publicado 7 vulnerabilidades: 1 de severidad crítica, 5 de severidad alta y 1 media que en caso de ser explotadas podrían permitir denegación de servicio (DoS), directory traversal, Server-Side Request Forgery (SSRF), desbordamiento de pila o acceso remoto no autorizado.
Actualizar a la versión 3.1.21.
CVE-2026-27699: la librería del cliente FTP `basic-ftp` para Node.js contiene una vulnerabilidad path traversal en el método `downloadToDir()`. Un servidor FTP malicioso podría enviar listados de directorios con nombres de archivo que contienen secuencias de recorrido de ruta (`../`) que provocan que los archivos se escriban fuera del directorio de descarga previsto.
Para las vulnerabilidades de severidad alta se han asignado los identificadores CVE-2026-25639, CVE-2026-27904, CVE-2026-26996, CVE-2026-27903 y CVE-2025-12758.
Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2026-27601.
Desbordamiento de búfer en NGINX
- NGINX Open Source desde la versión 0.6.27 hasta la 1.30.0;
- NGINX Plus desde la versión R32 hasta la R36.
Markakd Zhenpeng Lin ha informado sobre una vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a un atacante remoto, ejecutar código arbitrario en el sistema afectado.
Actualizar a las siguientes versiones:
- NGINX Open Source 1.31.0 y 1.30.1;
- NGINX Plus R36 P4, R35 P2 y R32 P6.
CVE-2026-42945: afecta al módulo ngx_http_rewrite_module de NGINX Open Source y NGINX Plus. El fallo se produce cuando la directiva rewrite es seguida de las directivas rewrite, if o set, utilizando capturas sin nombre de expresiones regulares compatibles con PCRE junto con cadenas de reemplazo que contienen el caracter ?.
Un atacante remoto no autenticado podría explotar la vulnerabilidad mediante el envío de solicitudes HTTP especialmente diseñadas, provocando un desbordamiento de búfer en memoria en el montículo dentro del proceso de NGINX.
Actualización de seguridad crítica en Drupal
No todas las configuraciones se ven afectadas. Cuando se publique el parche se indicará cuáles sí lo están. Sin embargo, en el comunicado, se habla de las siguientes versiones.
Drupal 10 y 11
Las ramas de Drupal con soporte:
- 11.3.x
- 11.2.x
- 10.6.x
- 10.5.x
Versiones menores del core de Drupal que ya no tienen soporte (Drupal 10 y 11)
Debido a la severidad del problema, se proporcionará una actualización para este fallo, pero únicamente para las versiones 11.1.9 y 10.4.9; por lo que se recomienda a todos los administradores de Drupal que utilicen las versiones 10 u 11, que antes de mañana a la hora de la actualización tengan sus sistemas actualizados a las versiones indicadas:
- Sitios con Drupal 11.1 u 11.0, actualizar antes de mañana, como mínimo, a la versión 11.1.9
- Sitios con Drupal 10.4, 10.3, 10.2, 10.1 o 10.0, actualizar antes de mañana, como mínimo, a la versión 10.4.9
Estos sitios deben instalar la actualización de seguridad tan pronto como se lance el 20 de mayo y, en un futuro cercano, actualizar sus sistemas a Drupal 11.3 o 10.6.
Versiones del core de Drupal que ya no tienen soporte (Drupal 8 y 9)
Estas versiones están completamente fuera del ciclo de vida, así que no se van a crear actualizaciones para estas ramas. Sin embargo, debido a la severidad de la actualización, se proporcionarán ficheros con el parche para Drupal 8.9 y 9.5.
Estos parches deberán instalarse manualmente y no hay garantías de que funcionen correctamente; asimismo, puede ser que introduzcan otros fallos o regresiones.
Para intentar que el fichero del parche funcione lo mejor posible, se recomienda:
- Para sitios con cualquier versión de Drupal 9, estar actualizados a Drupal 9.5.11
- Para sitios con cualquier versión de Drupal 8, estar actualizados a Drupal 8.9.20
Para estos productos se recomienda actualizar lo antes posible a versiones con soporte, como mínimo, Drupal 10.6, ya que las versiones 8 y 9 de Drupal ya cuentan con muchísimos fallos y problemas de seguridad sin resolver.
Drupal 7
No se ve afectado por este problema.
General
En cualquier caso, para las versiones 10 y 11 el problema no se puede explotar en los sitios protegidos por Drupal Steward, los los cuales están protegidos de los vectores de ataque conocidos. No obstante, se recomienda igualmente su actualización para evitar vectores de ataque adicionales que puedan ir surgiendo.
Para las versiones 8 y 9, estas versiones contienen muchas otras vulnerabilidades de seguridad que ya han sido previamente divulgadas y que no serán abordadas por Drupal Steward o los archivos de parche.
Drupal ha emitido un comunicado en el que informa de una actualización de seguridad crítica en todos sus sistemas que se hará pública el 20 de mayo de 2026 entre las 19:00 y 23:00 horas (17:00 y 21:00 horas UTC).
Para versiones de Drupal sin soporte, en primer lugar, actualizar el sistema a alguna versión válida para la actualización.
El 20 de mayo, cuando se lance la actualización, comprobar si su versión del producto se ve afectada por la vulnerabilidad y, en caso afirmativo, instalar la actualización lo antes posible.
Drupal ha emitido un comunicado en el que informa del lanzamiento de un parche de seguridad de importancia crítica. Por su parte, recomiendan instalar el parche lo antes posible ya que temen que, en cuanto se publique la solución, rápidamente aparezcan exploits para aprovechar el fallo.
El anuncio del lanzamiento lo harán en su página web de https://www.drupal.org/security y en sus redes sociales de Bluesky, Mastodon, X (anteriormente Twitter) y LinkedIn. Asimismo, todos aquellos usuarios que estén suscritos a los boletines y avisos de Drupal, también se podrán enterar de la noticia por correo electrónico.



