hace 6 meses · Actualizado hace 6 meses
Existe un aviso de seguridad para Drupal. Aquí podrá descubrir qué amenaza la seguridad informática de los sistemas UNIX y Windows, qué tan alto es el nivel de riesgo y qué debe hacer al respecto.
Oficina Federal de Seguridad La Oficina de Tecnología de la Información (BSI) emitió un aviso de seguridad para Drupal el 8 de enero de 2025. El software tiene varias vulnerabilidades que pueden ser aprovechadas por los atacantes. La vulnerabilidad de seguridad afecta a los sistemas operativos UNIX y Windows, así como al producto de código abierto Drupal.
Las últimas recomendaciones del fabricante con respecto a actualizaciones, correcciones y parches de seguridad para esta vulnerabilidad se pueden encontrar aquí: noticias de seguridad (A partir del 8 de enero de 2025). Otros recursos útiles se enumeran más adelante en este artículo.
- Se han reportado muchas vulnerabilidades para Drupal - Riesgo: medio
- Error Drupal: Descripción del ataque
- Una descripción general de los sistemas afectados por las vulnerabilidades de seguridad de Drupal
- Recomendaciones generales para abordar las vulnerabilidades de TI
- Información del fabricante sobre actualizaciones, parches y soluciones
- La fecha de revisión de este aviso de seguridad.
Se han reportado muchas vulnerabilidades para Drupal - Riesgo: medio
Nivel de riesgo: 3 (medio)
Cláusula básica CVSS: 5.4
Puntuación temporal CVSS: 4,7
Ataque a distancia: Sí
El Sistema de puntuación de vulnerabilidad común (CVSS) se utiliza para evaluar la gravedad de las vulnerabilidades en los sistemas informáticos. El estándar CVSS permite comparar vulnerabilidades de seguridad potenciales o reales en función de diferentes criterios para evitar contramedidas. Los atributos "ninguno", "bajo", "moderado", "alto" y "crítico" se utilizan para definir los niveles de gravedad de la vulnerabilidad. Baseline mide los requisitos de un ataque (incluida la precisión, la complejidad, los privilegios y la interacción del usuario) y sus consecuencias. Además del punto temporal, en la evaluación se consideran las condiciones contextuales que pueden cambiar con el tiempo. Según CVSS, la vulnerabilidad actual está clasificada como "moderada" con una puntuación base de 5,4.
Error Drupal: Descripción del ataque
Drupal es un sistema de gestión de contenidos gratuito basado en el lenguaje de programación PHP y una base de datos SQL. La gama de funciones de la instalación básica se puede ampliar individualmente mediante varios complementos.
Un atacante puede utilizar muchas vulnerabilidades en Drupal para eludir las medidas de seguridad o provocar efectos inesperados.
Una descripción general de los sistemas afectados por las vulnerabilidades de seguridad de Drupal
sistemas operativos
UNIX, ventanas
Productos
TFA de correo electrónico de código abierto de Drupal <2.0.3 (cpe:/a:drupal:drupal)
Correo electrónico de código abierto de Drupal TFA 2.0.3 (cpe:/a:drupal:drupal)
Perfil Drupal privado de código abierto (cpe:/a:drupal:drupal)
Recomendaciones generales para abordar las vulnerabilidades de TI
- Los usuarios de las aplicaciones afectadas deben actualizarlas. Cuando se conocen fallas de seguridad, los fabricantes deben solucionarlas rápidamente mediante el desarrollo de un parche o solución. Si hay nuevas actualizaciones de seguridad, instálelas inmediatamente.
- Para obtener información, consulte los recursos enumerados en la siguiente sección. Estos suelen incluir más información sobre la última versión del software en cuestión, así como la disponibilidad de parches de seguridad o consejos para la solución de problemas.
- Si tiene más preguntas o inquietudes, comuníquese con su administrador responsable. Los administradores de seguridad de TI deben verificar periódicamente los recursos enumerados para ver si hay una nueva actualización de seguridad disponible.
Información del fabricante sobre actualizaciones, parches y soluciones
Aquí encontrará enlaces adicionales con información sobre informes de errores, correcciones de seguridad y soluciones.
Noticias de seguridad del 2025-01-08 (01.08.2025)
Puede encontrar más información aquí:
Noticias de seguridad del 2025-01-08 (01.08.2025)
Puede encontrar más información aquí:
La fecha de revisión de este aviso de seguridad.
Esta es la versión inicial de esta información de seguridad informática para Drupal. Si se anuncian actualizaciones, esta publicación se actualizará. Puede leer sobre los cambios o adiciones en el historial de esta versión.
8 de enero de 2025 - Versión inicial
Más noticias