Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Cross-Site Scripting (XSS) en Drupal
  • Explotación remota de código en Apache Tomcat

Cross-Site Scripting (XSS) en Drupal

Fecha20/03/2025
Importancia3 - Media
Recursos Afectados
  • Versiones del core de Drupal:
    • desde la 8.0.0, incluida, hasta versiones anteriores a la 10.3.14;
    • desde la 10.4.0, incluida, hasta versiones anteriores a la 10.4.5;
    • desde la 11.0.0, incluida, hasta versiones anteriores a la 11.0.13;
    • desde la 11.1.0, incluida, hasta versiones anteriores a la 11.1.5.
  • Módulos:
    • Formatter Suite, versiones anteriores a la 2.1.0;
    • RapiDoc OAS Field Formatter, versiones anteriores a la 1.0.1;
    • Link field display mode formatter, versiones anteriores a la 1.6.0.
Descripción

El core de Drupal tiene una vulnerabilidad, de severidad media, que podría derivar en un Cross-Site Scriptings (XSS) y que afecta, también, a varios de sus módulos.

Las vulnerabilidades han sido descubiertas por Samuel Mortenson (samuel.mortenson), Joseph Zhao (pandaski) y Daniel Wehner (dawehner).

Solución

Todas las versiones de Drupal 10 anteriores a la 10.3 han llegado al final de su vida útil y no reciben actualizaciones de seguridad.

Para el resto de versiones afectadas, actualizar a la siguiente versión:

  • Drupal 10.3.x, actualizar a Drupal 10.3.14;
  • Drupal 10.4.x, actualizar a Drupal 10.4.5;
  • Drupal 11.0.x, actualizar a Drupal 11.0.13;
  • Drupal 11.1.x, actualizar a Drupal 11.1.5.

También deberá actualizar los módulos a su última versión, ya que la actualización del core de Drupal les afecta y si no, no funcionarán correctamente:

  • Módulo Formatter Suite para Drupal 10, actualizar a Formatter Suite 2.1.0;
  • Módulo RapiDoc OAS Field Formatter para Drupal 10, actualizar a RapiDoc OAS Field Formatter 1.0.1;
  • Módulo Link field display mode formatter para Drupal 10 o 11, actualizar a Link field display mode formatter 8.x-1.6.
Detalle

Los atributos del campo Enlace del core de Drupal no están lo suficientemente depurados, lo que puede degenerar en una vulnerabilidad de Cross-Site Scripting (XSS).

Esta vulnerabilidad no es de mayor impacto por el hecho de que un atacante necesitaría tener la capacidad de agregar atributos específicos a un campo de Enlace, lo que normalmente requiere acceso de edición a través de los servicios web principales o un módulo que sea contrib o custom.

Los sitios con el módulo de Enlace deshabilitado o que no utilizan ningún campo de Enlace no se verán afectados.

Por otro lado, los módulos mencionados en el aviso, trabajan con el campo Enlace; esto provoca que la actualización de Drupal les afecte y sea preciso actualizarlos también para que puedan funcionar correctamente.

Explotación remota de código en Apache Tomcat

Fecha20/03/2025
Importancia5 - Crítica
Recursos Afectados
  • Apache Tomcat 11.0.0-M1 hasta 11.0.2;
  • Apache Tomcat 10.1.0-M1 hasta 10.1.34;
  • Apache Tomcat 9.0.0.M1 hasta 9.0.98.
Descripción

COSCO Shipping Lines DIC y sw0rd1ight han reportado una vulnerabilidad de severidad crítica que afecta a Apache Tomcat, y cuya explotación podría permitir una posible ejecución remota de código y divulgación de información.

Una prueba de concepto está disponible en github.com. Si bien es cierto que se ha reportado que se está explotando activamente, a día de hoy no ha sido posible confirmar explotaciones con éxito en entornos de producción del mundo real.

Solución

Apache recomienda actualizar a las siguientes versiones:

  • Apache Tomcat 11: versión 11.0.3;
  • Apache Tomcat 10: versión 10.1.35;
  • Apache Tomcat 9: versión 9.0.99.

Además de esto, Apache recomienda tomar las siguientes medidas de mitigación:

  • Deshabilitar los permisos de escritura para el servlet por defecto.
  • Deshabilitar el soporte de PUT parciales.
  • Revisar y restringir las configuraciones de carga de archivos.
  • Implementar controles de acceso estrictos para directorios sensibles.
  • Utilizar los principios de mínimo privilegio para la configuración de Tomcat.

Apache indica que si no se ha modificado la configuración por defecto del DefaultServlet de solo lectura de "true" a "false", no hay riesgo de explotacion.

Detalle

Vulnerabilidad de equivalencia de rutas en Apache Tomcat. La vulnerabilidad implica la divulgación de información mediante la manipulación de archivos a través de un servlet predeterminado, posiblemente llegando incluso a la ejecución remota de código no autenticada en la función PUT.

Bajo circunstancias específicas, una explotación exitosa permite a los atacantes ejecutar código de forma remota en los sistemas de destino a través de la deserialización insegura. No obstante, para que un atacante pueda ver los archivos sensibles de seguridad y/o inyectar contenido en esos archivos, es necesario que se cumplan una serie de requisitos:

  • escritura activada para el servlet por defecto (desactivado por defecto);
  • soporte para PUT parcial (activado por defecto);
  • para la divulgación de información, conocimiento por parte del atacante de los nombres de los archivos confidenciales que se cargan, posiblemente también via PUT parciales;
  • para la ejecución remota de código, persistencia de sesión basada en archivos con la ubicación de almacenamiento por defecto (desactivada por defecto) y utilización de alguna librería que pueda ser usada en el ataque de deserialización (relativamente común).