Drupal ha lanzado un parche de seguridad por una vulnerabilidad calificada como ‘altamente crítica’ en las versiones 6, 7 y 8 de su Sistema de Gestión de Contenidos (CMS, por sus siglas en inglés) que podría permitir a un hacker tomar el control de un sitio web afectado con una simple visita. En este sentido, Drupal advirtió que el hacker también podría modificar o incluso eliminar los datos alojados en las plataformas afectadas.
El informe publicado por la compañía afirma que la vulnerabilidad, llamada SA-CORE-2018-002, afecta a más de 1 millón de sitios de Drupal. En concreto, las versiones afectadas por este bug son la 7.58; 8.x anteriores a 8.3.9; 8.4.x anteriores a 8.4.6 y 8.5.x anteriores a 8.5.1. Los desarrolladores de Drupal afirmaron en la publicación:
Esto potencialmente les permite a los hackers explotar múltiples vectores de ataque en un sitio Drupal, lo que podría resultar en un completo peligro para el sitio.
Hasta el momento, los desarrolladores no han revelado que la vulnerabilidad haya sido aprovechada. Por su parte, algunos proveedores de hosting de Drupal, como Acquia, Pantheon, Amazee.io y Platform.sh, han ofrecido soluciones a nivel de plataforma vinculadas a la capa de Servidor de Aplicaciones Web (WAF). Asimismo, CloudFlare y Fastly, dos servicios de entrega de contenidos orientados a la seguridad, también han lanzado soluciones con el fin de proteger a los usuarios.
Greg Knaddison, miembro del equipo de seguridad de Drupal, afirmó que la única forma de mitigar efectivamente este bug es a través de una actualización, al tiempo que reveló que la segunda opción efectiva para combatir la vulnerabilidad es colocar una regla en un WAF. Asimismo, Knaddison indicó que no está claro qué parte de los sitios de Drupal son vulnerables, porque depende de qué características estén habilitadas o no en cada sitio.
Se pudo conocer a través de la compañía de seguridad SiteLock, que solo el 18 por ciento de los sitios web de Drupal afectados por la vulnerabilidad crítica ejecutaban las actualizaciones más recientes, lo que quiere decir que la gran mayoría restante es propensa a ser comprometida por no contar con los últimos parches de seguridad.