Dos nuevos avisos de seguridad
Gestión inadecuada de errores en el core de Drupal
Core de Drupal, versiones desde 10.0 hasta la anterior a 10.2.10.
Las versiones Drupal 10.3 y superiores no están afectadas y tampoco Drupal 7.
El investigador Pierre Rudloff ha reportado una vulnerabilidad de severidad media que afecta al core de Drupal, concretamente al módulo CKEditor 5, cuya explotación podría permitir a un atacante dejar indisponible un sitio web.
En caso de estar usando Drupal 10.2, actualizar a la versión 10.2.10.
Todas las versiones de Drupal 10 anteriores a 10.2, así como las versiones 8 y 9, han alcanzado el final de su vida útil (EoL) y no recibirán actualizaciones de seguridad.
Bajo ciertas configuraciones de página web poco comunes, un error en el módulo CKEditor 5 podría causar que algunas subidas de imágenes desplacen todo el webroot a una ubicación diferente en el sistema de archivos. Esta situación podría ser aprovechada por un atacante para tumbar la web.
Ejecución de código remoto en SolarWinds Web Help Desk
SolarWinds Web Help Desk, versiones 12.8.3 HF2 y anteriores.
El investigador, Guy Lederfein, de Trend Micro Zero Day Initiative, en coordinación con SolarWinds, ha notificado una vulnerabilidad crítica que afecta a SolarWinds Web Help Desk y que de ser explotada podría permitir la ejecución de código remoto.
Actualizar SolarWinds Web Help Desk a la versión 12.8.3 HF3.
SolarWinds es vulnerable a una deserialización en Java, lo que podría provocar la ejecución de código remoto en la máquina anfitriona. Se ha asignado el identificador CVE-2024-28988 para esta vulnerabilidad.