Crear panel personalizado
EspañaPaís VascoNotas de prensa 913766

Vulnerabilidades de severidad crítica y alta en el Core de Drupal

Resumen autogenerado por OpenAI

Audios generados (reproducción automática)

Los audios se reproducen de forma automática uno detrás de otro. Haz clic en el icono para descargar el audio o aumentar/disminuir la velocidad de reproducción.
Debido al tamaño del artículo, la generación del audio puede tardar unos segundos y es posible que se generen varios audios para un mismo artículo.

El equipo de seguridad de Drupal ha publicado tres avisos de seguridad sobre vulnerabilidades críticas y moderadamente críticas en el núcleo de Drupal, afectando a versiones anteriores a Drupal 10.3.13, 10.4.3, 11.0.12 y 11.1.3. Estas vulnerabilidades incluyen Cross Site Scripting (XSS), omisión de controles de acceso y una cadena de gadgets PHP (Gadget Chain), lo que podría permitir la ejecución remota de código en ciertas circunstancias. Se recomienda actualizar inmediatamente a las versiones más recientes de Drupal para mitigar estos riesgos.

Recursos afectados:

Además, se recuerda que todas las versiones de Drupal 10 anteriores a 10.3 han alcanzado su fin de vida y no recibirán más actualizaciones de seguridad. Lo mismo aplica para Drupal 8 y Drupal 9.

Análisis técnico:

Cross Site Scripting (XSS) - SA-CORE-2025-001

Drupal core no filtra adecuadamente los mensajes de error en ciertas circunstancias, lo que permite ataques de tipo XSS reflejado. Aunque no hay exploits documentados públicamente, es probable que surjan en el futuro debido a la naturaleza de la vulnerabilidad.

Omisión de controles de acceso - SA-CORE-2025-002

Un error en el sistema de acciones del núcleo de Drupal permite que algunos usuarios modifiquen campos mediante acciones masivas sin los permisos adecuados.

Gadget Chain - SA-CORE-2025-003

Drupal core contiene una vulnerabilidad potencial de inyección de objetos PHP que, en combinación con otra vulnerabilidad, podría permitir la inclusión arbitraria de archivos y, en casos extremos, la ejecución remota de código.

Mitigación / Solución:
Referencias Adicionales
Fecha de publicación
flag thumbnail image
Gobierno del País Vasco / Euskadi
Administración Pública
Notas de prensa
Categoría
Acciones
Compartir
Tags
Documentos descargables
0
No hay ficheros adjuntos
Histórico de cambios
1
Artículo publicado
Detectado: 20/02/2025
© 2023 GovClipping by Ofifacil
913766 {"title":"Vulnerabilidades de severidad crítica y alta en el Core de Drupal","published_date":"2025-02-20","institution_slug":"paisvasco","institution_name":"País Vasco","category":"press_release","category_name":"Notas de prensa","image":"https:\/\/govclipping.com\/webapp\/assets_v2\/images\/icons\/flags\/logo-bandera-paisvasco.png","id":"913766"} paisvasco Agencia Vasca de Ciberseguridad (Cyberzaintza) https://govclipping.com/modules/controller/ReferencesController.php Resaltar Quitar resaltado true https://govclipping.com/modules/controller/ArticlesController.php https://govclipping.com/modules/controller/SubsidyController.php https://govclipping.com/modules/controller/UserDatasetActionsController.php https://govclipping.com/search https://govclipping.com/search?keywords= Error "" region subsidy initiative Error Ha habido un error: {error}. Inténtalo de nuevo más tarde. Éxito La operación se ha realizado correctamente. Elemento guardado en la lista El elemento ha sido modificado Elemento eliminado de la lista Guardar para leer más tarde Aceptar Cancelar No se han encontrado artículos adicionales. https://govclipping.com/modules/controller/NewslettersController.php ¡Suscripción realizada! Te has suscrito correctamente a la newsletter de GovClipping. Algo salió mal No ha sido posible suscribirte a la newsletter. Vuelve a introducir tu email o inténtalo de nuevo más tarde. Error No se ha podido enviar la alerta de prueba a tu correo electrónico {email}. Inténtalo de nuevo más tarde. Alerta de prueba enviada Se ha enviado una alerta de prueba únicamente a tu email {email}. Revisa tu carpeta de Spam y añade @govclipping.com a tu lista de contactos. Enviar email de prueba Se enviará un email de prueba únicamente al correo electrónico de esta cuenta. Si no lo recibes, revisa tu carpeta de Spam. Enviar a todos los destinatarios Se enviará el correo electrónico a todos los destinatarios. Si no lo reciben, revisen su carpeta de Spam. Error No se ha podido enviar el correo electrónico a todos o algunos de los destinatarios. Inténtalo de nuevo más tarde. Correo electrónico enviado Se ha enviado el correo electrónico a todos los destinatarios. Revisen su carpeta de Spam y añadan @govclipping.com a su lista de contactos. Este contenido está disponible para usuarios premium Mejora tu cuenta para desbloquear y acceder todo el contenido premium sin restricciones. Consulta todas las ventajas de ser Premium en Planes de suscripción. Mejora tu cuenta https://govclipping.com/pricing Enlace copiado en portapapeles. Tu cuenta no está asociada a un Organización. Únete a uno o actualiza tu suscripción para crear tu propia Organización. https://govclipping.com/es/paisvasco/press_release/2025-02-20/913766-vulnerabilidades-severidad-critica-alta-core-drupal https://govclipping.com/signup https://govclipping.com/modules/controller/UserController.php Sector económico actualizado! El sector económico de tu perfil ha sido actualizado correctamente. Error Por algún motivo no hemos podido tramitar la petición. Vuelve a intentarlo más tarde.