SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/actualizacion-de-drupal-repara-error-que-permitia-secuestrar-cuenta-de-administrador/
TAGS: Drupal
Las nuevas versiones del popular sistema de gestión de contenidos de código abierto, Drupal, están liberadas y corrigen una serie de vulnerabilidades, entre ellas una crítica que puede dar lugar a que un atacante tome control sobre la cuentas de administrador.
"Se encontró una vulnerabilidad en el modulo OpenID que permite a un usuario malicioso iniciar sesión como un usuario del sitio, incluyendo uno administrador, y secuestrar sus cuentas", explicó el equipo de seguridad de Drupal en un aviso.
"Esta vulnerabilidad (CVE-2015-3234) es mitigada debido a que la víctima debe contar con una identidad OpenID asociada con un determinado conjunto de proveedores de OpenID (incluyendo, pero no limitado a Verisign, LiveJournal o StackExchange)."
[caption id="attachment_4200" align="alignnone" width="680"]
Actualización de Drupal repara error que permitía secuestrar cuenta de administrador[/caption]Las otras tres fallas son menos críticas, lo suficientemente serias si el atacante puede explotarlas, pero la explotación es difícil debido a ciertos factores de mitigación.
Por ejemplo, CVE-2015-3232 es una falla en el módulo Field UI que permite a usuarios maliciosos, bajo ciertas circunstancias, usar la consulta del parámetro "destinos" para construir una URL para engañar a los usuarios y que sean redirigidos a un sitio web de terceros potencialmente malicioso. Este ataque puede solamente ser ejecutado en sitios donde el módulo Field UI está habilitado.
Fuente:http://www.seguridad.unam.mx/
Actualización de Drupal repara error que permitía secuestrar cuenta de administrador
Noticias de seguridad informática
No comments:
Post a Comment