Falla en Symfony deja a miles de sitios Drupal expuestos a ataques.



Investigadores de Seguridad informaron sobre una vulnerabilidad en miles de sitios web basados en Drupal. Drupal es uno de los CMS (Content Management System), más populares a nivel mundial y una vulnerabilidad en una librería de terceros informada con el ID CVE-2018-14773, Symfony HttpFoundation, permite a atacantes hacerse de la administración completa del sitio web remoto.

Según el aviso publicado hace unos días, la vulnerabilidad reside en dos cabeceras X-Original-URL o X-Rewrite-URL, las cuales podrían permitir a un atacante remoto hacer que estas cabeceras retornen una URL diferente, evitando cualquier control o restricción en los servidores Web. Para poder solucionar este problema, Symfony quito el soporte para estas dos cabeceras de IIS.

Symfony reparo esta vulnerabilidad en las versiones 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14, y 4.1.3 y drupal corrigió la falla en la versión 8.5.6.

Esta no es la única vulnerabilidad grave que han detectado en este CMS durante este año, también fue la vulnerabilidad que llamaron Drupalgeddon , la cual después de haberse publicado la POC de la explotación de la vulnerabilidad, miles de sitios fueron vulnerados.

Ultimamente han habido casos en que por no realizar la actualización de los equipos a tiempo, han sacado provecho de vulnerabilidades no parcheadas, por tanto es necesario que los administradores de los CMS, realicen el proceso correspondiente de actualización.