Icono del sitio Una Al Día

Drupal parchea vulnerabilidad en el motor de plantillas Twig

Raúl García

Las actualizaciones anunciadas por Drupal esta semana solucionan una grave vulnerabilidad en Twig que podría provocar la filtración de datos sensibles.

Drupal es un gestor de contenido web de código abierto basado en PHP que ha estado utilizando Twig como su motor de plantillas por defecto desde Drupal 8. 

La vulnerabilidad que se ha calificado como critica y asignada como CVE-2022-39261, podría permitir a un atacante cargar plantillas fuera de un directorio configurado, a través del gestor del sistema de archivos.

«Cuando se utiliza el gestor de archivos para cargar plantillas cuyo nombre es una entrada del usuario, es posible utilizar la sentencia source o include para leer archivos arbitrarios desde fuera del directorio de plantillas cuando se utiliza un espacio de nombres como @somewhere/../some.file (en tal caso, se omite la validación).»

Explicación de Twig.

Twig ha mitigado el fallo con el lanzamiento de las versiones 1.44.7, 2.15.3 y 3.4.3.

“Un atacante podría acceder a escribir código en Twig, dando lugar a múltiples vulnerabilidades, incluyendo el acceso de lectura sobre archivos privados, el contenido de diversos archivos en el servidor, o las credenciales de la base de datos.»

Nota informativa de Drupal.

La vulnerabilidad está mitigada por el hecho de que un exploit sólo es posible en el núcleo de Drupal con permisos administrativos de acceso restringido. Sin embargo, Drupal señala que el código aportado o personalizado que permite a los usuarios escribir plantillas puede crear rutas de explotación adicionales.

Versiones afectadas

 >= 8.0.0 <9.3.22 || >= 9.4.0 <9.4.7

Solución

Instale la última versión;

El núcleo de Drupal 7 no incluye Twig y por lo tanto no está afectado.

Más información

Acerca de Raúl García

Raúl García Ha escrito 12 publicaciones.

Amante de la tecnología y la montaña

Salir de la versión móvil