Una Al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Drupal parchea vulnerabilidad en el motor de plantillas Twig

Drupal parchea vulnerabilidad en el motor de plantillas Twig

Por Deja un comentario

Las actualizaciones anunciadas por Drupal esta semana solucionan una grave vulnerabilidad en Twig que podría provocar la filtración de datos sensibles.

Drupal es un gestor de contenido web de código abierto basado en PHP que ha estado utilizando Twig como su motor de plantillas por defecto desde Drupal 8. 

La vulnerabilidad que se ha calificado como critica y asignada como CVE-2022-39261, podría permitir a un atacante cargar plantillas fuera de un directorio configurado, a través del gestor del sistema de archivos.

«Cuando se utiliza el gestor de archivos para cargar plantillas cuyo nombre es una entrada del usuario, es posible utilizar la sentencia source o include para leer archivos arbitrarios desde fuera del directorio de plantillas cuando se utiliza un espacio de nombres como @somewhere/../some.file (en tal caso, se omite la validación).»

Explicación de Twig.

Twig ha mitigado el fallo con el lanzamiento de las versiones 1.44.7, 2.15.3 y 3.4.3.

“Un atacante podría acceder a escribir código en Twig, dando lugar a múltiples vulnerabilidades, incluyendo el acceso de lectura sobre archivos privados, el contenido de diversos archivos en el servidor, o las credenciales de la base de datos.»

Nota informativa de Drupal.

La vulnerabilidad está mitigada por el hecho de que un exploit sólo es posible en el núcleo de Drupal con permisos administrativos de acceso restringido. Sin embargo, Drupal señala que el código aportado o personalizado que permite a los usuarios escribir plantillas puede crear rutas de explotación adicionales.

Versiones afectadas

 >= 8.0.0 <9.3.22 || >= 9.4.0 <9.4.7

Solución

Instale la última versión;

  • Si esta utilizando Drupal 9.4, actualice a Drupal 9.4.7.
  • Si utiliza Drupal 9.3, actualice a Drupal 9.3.22.
  • Todas las versiones de Drupal 9 anteriores a la 9.3.x están al final de su vida útil y no recibirán soporte de seguridad. Tenga en cuenta que Drupal 8 ha llegado al final de su vida útil.

El núcleo de Drupal 7 no incluye Twig y por lo tanto no está afectado.

Más información

Acerca de Raúl García

Raúl García Ha escrito 12 publicaciones.

Amante de la tecnología y la montaña

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.