Los sitios web que ejecutan los sistemas de administración de contenido Drupal, Joomla o Typo3 son vulnerables a ataques que posiblemente podrían ejecutar código malicioso hasta que los administradores instalen parches recién lanzados, advirtieron desarrolladores e investigadores de seguridad.
La vulnerabilidad reside en PharStreamWrapper, un componente de PHP desarrollado y de código abierto por el fabricante de CMS Typo3. Indexada como CVE-2023-11831, la falla se deriva de un error de ruta transversal que permite a los piratas informáticos intercambiar el archivo phar legítimo de un sitio con uno malicioso. Un archivo phar se usa para distribuir una aplicación o biblioteca PHP completa en un solo archivo, de la misma manera que un archivo Java agrupa muchos archivos Java en un solo archivo.
En un aviso publicado el miércoles, los desarrolladores de Drupal calificaron la gravedad de la vulnerabilidad que afecta a su CMS como moderadamente crítica. Eso está muy por debajo de la calificación altamente crítica de una vulnerabilidad Drupal reciente y fallas anteriores de ejecución remota que tomaron el nombre de «Drupalgeddon». Aún así, la vulnerabilidad representa un riesgo suficiente como para que los administradores deberían parchearla lo antes posible.
«La naturaleza de la [pharStreemWarapper] la vulnerabilidad hace que dependa del contexto», dijo a Ars Daniel le Gall, un investigador que descubrió la vulnerabilidad. «Encontré esta vulnerabilidad en Drupal, y esa es la única plataforma donde evalué la gravedad. Actualmente estoy hablando con Drupal para que sea ‘crítico’ en lugar de ‘moderadamente crítico’, pero la decisión final está en sus manos».
Un investigador de SCRT SA en Suiza, le Gall dijo que su propio cálculo utilizando el método de clasificación de gravedad publicado de Drupal lo llevó a la determinación de que la vulnerabilidad debe clasificarse como crítica. Aún así, estuvo de acuerdo en que CVE-2023-11831 estaba muy por debajo del umbral de los errores anteriores de Drupal, que podrían ser explotados por usuarios finales sin privilegios que visitan un sitio vulnerable.
«Para un Drupal predeterminado [site] sin complementos, requiere [the site] tener un usuario con el derecho de ‘Administrar tema’, que es un requisito previo alto», dijo. Eso significa que un atacante tendría que tener privilegios de administrador limitados, como los que se otorgan a la gente de marketing o diseñadores gráficos.
«Sin embargo, algunos módulos de la comunidad pueden ser vulnerables debido a esta falla en Drupal Core», agregó. “Sin embargo, una vez que se obtienen estos privilegios, la falla es bastante fácil de explotar y conduce efectivamente a la ejecución remota de código”.
Mientras tanto, los desarrolladores de Joomla emitieron su propio aviso el miércoles que calificó la gravedad como baja. Los desarrolladores de Typo3 no proporcionaron una calificación de gravedad para su propio CMS.
Sitios que ejecutan:
- Drupal 8.7 debería actualizarse a 8.7.1
- 8.6 o anterior debe actualizarse a 8.6.16
- 7 debería actualizarse a 7.67
En Joomla, la falla afecta a las versiones 3.9.3 a 3.9.5. La solución está disponible en 3.9.6.
Los usuarios de Typo3 CMS deben actualizar a las versiones v3.1.1 y v2.1.1 de PharStreamWapper manualmente o asegurarse de que las dependencias de Composer se eleven a esas versiones.
