The security group of the popular CMS Drupal itself has
released a new security update this week to patch a vulnerability
very easy to exploit and that can even grant full control over sites
vulnerable to the attack.
The vulnerability is based on one of the attacks most
used on CMSs, which is the double extension of files, a vulnerability
very easy to exploit where attackers simply have to add a
second extension to the malicious file, upload it to the Drupal site through
fields that allow file uploads and execute this malicious upload.
Currently Drupal ranks as the fourth CMS most
utilizado de Internet después de WordPress, Shopify y Joomla, la vulnerabilidad
en cuestión ha sido calificada como “Critica” y se recomienda a los
propietarios de un sitio Drupal a parchear a su última versión lo antes
posible.
La vulnerabilidad es muy sencilla de explotar, es tan sencillo
como modificar un archivo “malware.php” a “malware.php.txt”. Una vez modificado
el archivo y subido a una página de Drupal, el CMS clasifica el archivo como un
archivo de texto en lugar de un archivo de PHP, pero Drupal ejecutando el
código del archivo PHP malicioso al intentar leer el archivo de texto.
Aunque lo normal en los CMS es que se detecten los archivos
con dobles extensiones, en esta vulnerabilidad en concreto el problema reside en
que Drupal no desinfecta ciertos nombres de archivos, hecho que evita que
algunos archivos maliciosos con doble extensión se escapen a la revisión de
Drupal.
Los desarrolladores de Drupal han indicado que esta
vulnerabilidad puede llevar a que los archivos sean malinterpretados y se
ejecute el código PHP. Desde Drupal han lanzado una actualización para las
versiones 7,8 and 9 que corrige los procedimientos de desinfección de carga de
archivos. Aunque desde Drupal insisten a los administradores que revisen las
cargas de archivos con dos extensiones en caso de que la vulnerabilidad haya
sido descubierta y explotada por atacantes.