Drupal elimina vulnerabilidad de restablecimiento de contraseñas

por Leiva / 20 de marzo del 2015 8:14 PM EDT
Drupal
[socialBuzz]

Drupal, al igual que WordPress, es uno de los gestores de contenidos más usados en la red a nivel profesional e institucional. Sin embargo, es muy común que la mayoría de sitios hackeados por usuarios con conocimientos no tan profundos en programación e informática puedan realizar o ejecutar códigos que puedan robar información de los usuarios.

De acuerdo con un aviso de seguridad publicado ayer, un defecto que se encuentra en el núcleo de Drupal podría permitir a un hacker potencial en determinadas circunstancias para eludir restricciones de seguridad, forjando el restablecimiento de contraseñas en las URLs.

En estas circunstancias los hackers no necesitarían saber las contraseñas de los usuarios para poder acceder a las cuentas, algo considerado de nivel crítico, sobre todo los usuarios que usan las versiones 6 de Drupal.

Las versiones afectadas de Drupal también son susceptibles a una vulnerabilidad de redirección abierta. Una URL de acción Drupal contiene un parámetro de “destino” en él, que puede ser utilizado por los ciberdelincuentes para redirigir a los usuarios a un sitio de terceros con contenido malicioso.

Según el equipo de Drupal, hay múltiples funciones de la API relacionados URL en versiones afectadas de Drupal 6 y 7 que pueden ser utilizados por los atacantes en pasar a través de URLs externas cuando no es necesario. Esto podría dar lugar a vulnerabilidades de redirección abiertos.

La cuestión es realmente grave porque Drupal se usa en 1 mil millones de sitios web en Internet, lo que pone de Drupal en el tercer lugar detrás de los WordPress y Joomla. Drupal proporciona un sistema de gestión de contenido para sitios web que incluyen MTV, Popular Science, Sony Music, Harvard y MIT.

RECOMENDACIONES

  • A los administradores de sitios web se les recomienda encarecidamente a tomar algunas medidas necesarias:
  • Actualizar a la última versión del núcleo de Drupal, es decir, Drupal core 6.35 y Drupal core 7.35
  • Ejecutar todo el software como un usuario sin privilegios (uno sin privilegios administrativos) para disminuir los efectos de un ataque exitoso.
  • No haga clic en enlaces de fuentes desconocidas.

No abra archivos adjuntos de correo electrónico de fuentes desconocidas o que no sean de confianza.