Vulnerabilidades presentes en el Core del CMS Drupal
La reconocida biblioteca de JavaScript, jQuery, recientemente se ha visto inmersa dentro de un problema de seguridad cibernética.
Se ha presentado una vulnerabilidad que compromete a los sitios web a posibles ataques Cross-site Scripting (XSS).
En la actualidad, alto porcentaje de sitios dentro de internet hacen uso de esta biblioteca de JavaScript.
Al ser de esta manera, conlleva a un problema de seguridad general, a tal punto que puede afectar a un gran grupo de internautas.
El detalle más preocupante de la situación, es que existe la posibilidad de que atacantes se aprovechen de este fallo, y puedan realizar modificaciones a tal punto de poder cambiar el comportamiento del sitio.
Pero el fallo de seguridad no solo afecta a sitios web. Drupal se integra a la lista de afectados por esta vulnerabilidad presente en jQuery.
El reconocido sistema de gestión de código abierto ha entrado en alerta, y puesto manos a la obra para solucionar el problema.
Drupal Core está trabajando para resolver los problemas de seguridad existentes
Drupal Core ha anunciado una nueva actualización de su sistema. Dentro de esta, se incluye un parche de seguridad que busca resolver los fallos de seguridad que logran afectar la integridad de múltiples sitios web.
Entre las versiones de Drupal que se encuentran afectadas a posibles ataques de hackers, se encuentran: Drupal 8.6, Drupal 8.5 y anteriores, y hasta Drupal 7.
Igualmente, se registran otros fallos a nivel de seguridad en Drupal Core, que se generan desde los componentes de PHP Symfony.
Se han identificado vulnerabilidades en cross-site scripting (CVE-2019-10909), ejecución remota de código (CVE-2019-10910) y ataques de omisión de autenticación (CVE-2019-1091)
No es la primera vez que Drupal se ve en problemas de vulnerabilidades que afectan los sitios de sus clientes.
Hace tan solo dos meses, que la compañía hizo público un parche de seguridad debido a que se presentó una falla de ejecución remota de código (RCE).
Para ese momento, no se divulgó mucha información acerca del inconveniente que se presentaba. Ni de cómo afectaría a los usuarios.
En este caso, se hizo pública la prueba de concepto (PoC) de la vulnerabilidad, justo dos días después de que la actualización había sido lanzada.
Aún hay ciberdelincuentes aprovechandose de los desprotegidos
Aun así, algunos hackers se aprovecharon de quienes no habían instalado el parche para proteger sus sitios web.
También, el año pasado, los clientes de Drupal se vieron afectados por ataques de hackers, provocados por dos vulnerabilidades.
Fueron denominadas Drupalgeddon 2 y Drupalgeddon 3. Los ataques comenzaron tras la publicación de una prueba de concepto.
De por sí, ya se ha hecho bastante popular la recurrencia de fallas de seguridad que se presentan en el software de Drupal.
Los piratas informáticos se han dedicado a tomar ventaja de los constantes descuidos para aprovecharse de los usuarios de la compañía.
Por tal razón, Drupal ha solicitado a sus clientes que inicien la actualización para parches de seguridad, y solventar la vulnerabilidad presente.
Según la versión que se esté utilizando, la instalación de las actualizaciones se debe realizar de la siguiente manera:
- Para la versión 8.6, se debe actualizar a Drupal 8.6.15.
- Las versiones 8.5 o anteriores, serán actualizadas a Drupal 8.5.15.
- Y para Drupal 7, se instala la versión de Drupal 7.66.
Al ser instalado el parche, se solventarán los fallos de seguridad, y se reducen las posibilidades de un ataque por hackers.