Friday, 19 June 2015

Actualización de Drupal repara error que permitía secuestrar cuenta de administrador

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/actualizacion-de-drupal-repara-error-que-permitia-secuestrar-cuenta-de-administrador/
TAGS: Drupal

Las nuevas versiones del popular sistema de gestión de contenidos de código abierto, Drupal, están liberadas y corrigen una serie de vulnerabilidades, entre ellas una crítica que puede dar lugar a que un atacante tome control sobre la cuentas de administrador.


"Se encontró una vulnerabilidad en el modulo OpenID que permite a un usuario malicioso iniciar sesión como un usuario del sitio, incluyendo uno administrador, y secuestrar sus cuentas", explicó el equipo de seguridad de Drupal en un aviso.


"Esta vulnerabilidad (CVE-2015-3234) es mitigada debido a que la víctima debe contar con una identidad OpenID asociada con un determinado conjunto de proveedores de OpenID (incluyendo, pero no limitado a Verisign, LiveJournal o StackExchange)."




[caption id="attachment_4200" align="alignnone" width="680"]Actualización de Drupal repara error que permitía secuestrar cuenta de administrador Actualización de Drupal repara error que permitía secuestrar cuenta de administrador[/caption]

Las otras tres fallas son menos críticas, lo suficientemente serias si el atacante puede explotarlas, pero la explotación es difícil debido a ciertos factores de mitigación.


Por ejemplo, CVE-2015-3232 es una falla en el módulo Field UI que permite a usuarios maliciosos, bajo ciertas circunstancias, usar la consulta del parámetro "destinos" para construir una URL para engañar a los usuarios y que sean redirigidos a un sitio web de terceros potencialmente malicioso. Este ataque puede solamente ser ejecutado en sitios donde el módulo Field UI está habilitado.


Fuente:http://www.seguridad.unam.mx/



Actualización de Drupal repara error que permitía secuestrar cuenta de administrador
Noticias de seguridad informática

No comments:

Post a Comment