Global Preloader
Vulnerabilidad
(20/Apr/2017) Vulnerabilidad en un modulo de Drupal expone a 120.000 sitios

Vulnerabilidad en un modulo de Drupal expone a 120.000 sitios

Una vulnerabilidad crítica se ha encontrado en un módulo de Drupal utilizado por muchos sitios web. Aunque la falla se ha solucionado, los desarrolladores de Drupal inicialmente aconsejaron a los usuarios migrar, ya que el módulo afectado no se había actualizado durante varios años.

El equipo de seguridad de Drupal informó a los usuarios el 12 de abril que el módulo de terceros llamado Referencias se vio afectado por un agujero de seguridad crítico. El módulo, actualmente utilizado por más de 121.000 sitios web, permite a los usuarios añadir referencias entre nodos para arquitecturas de información más complejas.

Las referencias fueron marcadas inicialmente por los desarrolladores de Drupal como no soportadas debido al hecho de que había recibido su última actualización en febrero de 2013. Sin embargo, el 14 de abril, el equipo de seguridad de Drupal anunció que podría haber encontrado un nuevo responsable del módulo.

El martes, Drupal anunció que la vulnerabilidad se ha solucionado con el lanzamiento de Referencias 7.x-2.2, que también incluye nuevas características y correcciones de errores.

El equipo de seguridad de Drupal no ha publicado ninguna información sobre la vulnerabilidad para evitar la explotación, pero a los expertos les preocupa que los actores maliciosos puedan llegar a encontrar la falla por sí mismos analizando el código fuente. Drupal dijo que dará a conocer información sobre esta debilidad en las próximas semanas.

Mientras que el módulo de Referencias parece haber encontrado un nuevo mantenedor, los propietarios de sitios web de Drupal también pueden probar Entity Reference, un módulo que proporciona funcionalidad similar. Un módulo especial está disponible para la migración de Referencias a Referencia de entidad.

Se sabe que los hackers atacan sitios web de Drupal utilizando vulnerabilidades en módulos de terceros. El año pasado, los investigadores comenzaron a ver los intentos de explotar una falla del módulo RESTWS dos meses después de haber sido parcheado.

La vulnerabilidad Drupal más conocida es la denominada "Drupalgeddon", que aún se explotaba casi dos años después de que se publicara un parche.