La semana pasada informamos sobre una grave vulnerabilidad que afectaba a Drupal, la cual obligó a los desarrolladores a tomarse un tiempo para resolverla en las versiones 7 y 8 del CMS.
En el aviso oficial se dio una fecha para la publicación del parche: 28 de mayo de 2018 (ayer). Esto quiere decir que ya está disponible y aquellos que tengan una web montada con Drupal tienen que aplicarlo cuanto antes. La gravedad de la vulnerabilidad ha hecho que el parche haya sido portado hasta a versiones oficialmente sin mantenimiento como la 8.3 y la 8.4, aunque desde los desarrolladores del CMS insisten en actualizar a la versión 8.5 cuanto antes.
En su momento no tuvimos detalles sobre qué tipo de vulnerabilidad era, pero ahora sí los conocemos. Se trata de una vulnerabilidad de ejecución de código en remoto localizada en múltiples subistemas de Drupal. Los agujeros de seguridad abren la puerta a que el sitio web quede totalmente comprometido, y para explotarlos no se requiere de credenciales de acceso ni de ningún privilegio, por lo que cualquier visitante anónimo que tenga los conocimientos necesarios puede hacerse con el control total del sitio web, pudiendo hasta borrar y manipular datos que no son públicos (pertenecientes a la base de datos o al back office). Aunque de momento no está siendo explotada de forma activa, los desarrolladores de Drupal avisan de que eso podría empezar a ocurrir en cualquier momento.
Desde MuySeguridad recomendamos a todos los que tengan una instalación de Drupal expuesta a Internet que apliquen el parche cuanto antes, y también actualizar todo el CMS en caso de estar utilizando una versión descontinuada. Recordamos que el no tener una política de aplicación de parches diligente fue uno de los motivos del gran impacto que tuvo WannaCry, que hace un año causó estragos a muchas instituciones importantes.