Drupal ha lanzado esta semana una actualización de seguridad de emergencia para evitar la ejecución arbitraria de código PHP en algunas versiones del gestor de contenidos (CMS) a causa de graves vulnerabilidades de reciente publicación.

El parche de seguridad publicado como SA-CORE-2020-013, resuelve fallos relacionados con la biblioteca PEAR Archive_TAR, una clase usada para la manipulación de archivos comprimidos .tar en PHP. Concretamente, resuelve las vulnerabilidades CVE-2020-28948 y CVE-2020-28949 publicados el pasado 19 de noviembre.

Las versiones de Drupal anteriores a la 8.8.X ya no tienen soporte, por lo que no se han actualizado, salvo la versión 7, que puede actualizarse a la versión 7.5 para resolver el problema. Respecto a las versiones que sí tiene soporte actualmente, es suficiente con actualizarlas a la última versión disponible, a saber: la 9.0 a la 9.0.9, la 8.9 a la 8.9.10 y la 8.8 a la 8.8.12.

Esta vulnerabilidad crítica de ejecución de código en Drupal solo puede aprovecharse en aquellos CMS que estén configurados para procesar la carga de archivos comprimidos: .tar, .tar.gz, .bz2 o .tlz.

Según las estadísticas oficiales, se estima que actualmente cerca de un millón de sitios webs tienen instalado versiones vulnerables de Drupal, por lo que se recomienda encarecidamente la actualización de los mismos.

Aquellos sitios en los que no sea posible actualizar, como contramedida, se recomienda bloquear la carga de los archivos comprimidos de los tipos mencionados anteriormente, de este modo se podría mitigar temporalmente el problema hasta poder realizar la actualización del CMS.

Referencias:

SA-CORE-2020-013:

https://www.drupal.org/sa-core-2020-013