Nivel de Criticidad: CRÍTICO Y ALTO

Joomla!, gestor de contenido (CMS) que permite desarrollar sitios web dinámicos e interactivos, ha hecho públicos avisos de seguridad que resuelven tres vulnerabilidades, una de ellas crítica, y las dos restantes con una severidad alta. 

Por otra parte, Drupal, gestor de contenido (CMS) libre, ​ modular, multipropósito y muy configurable, también ha hecho público un aviso de seguridad que resuelve vulnerabilidades críticas en una librería concreta de la que Drupal hace uso. 

A continuación, se exponen los detalles de las vulnerabilidades de cada uno:

• JOOMLA!

• CVE-2020-10243: Se ha descubierto que no se realizan correctamente las conversiones de tipo de las variables en las instrucciones SQL, lo que conduce a una vulnerabilidad de inyección SQL en el menú frontal de "Artículos destacados". La base de datos del NIST ha calificado esta vulnerabilidad como crítica con una puntuación de 9.8 (CVSSv3) ya que un posible ataque puede realizarse de forma remota, con una complejidad baja, sin privilegios elevados, sin interacción por parte de un usuario y produciría un impacto alto en la confidencialidad, integridad y disponibilidad.
• CVE-2020-10239: Existe un control de acceso incorrecto en el campo SQL ubicado en com_fields que permite el acceso a usuarios que no son superadmin. La base de datos del NIST ha calificado esta vulnerabilidad como alta con una puntuación de 8.8 (CVSSv3) con las mísmas características del anterior CVE.
• CVE-2020-10238: Problema descubierto en ciertas versiones de Joomla! anteriores a la 3.9.16. Varias de las acciones permitidas en com_templates carecen de las comprobaciones ACL requeridas, lo que lleva a varios vectores de ataque potenciales. La base de datos del NIST ha calificado esta vulnerabilidad como alta con una puntuación de 7.5 (CVSSv3) con las mísmas características de los anteriores CVEs, a excepción de que en este caso sólo se produciría un impacto alto en la confidencialidad. 

Por el momento no se tiene conocimiento de reportes sobre una posible explotación activa por parte de ciberdelincuentes que aproveche estas vulnerabilidades. Referente al CVE-2020-10243 se ha localizado una prueba de concepto que, según el investigador autor de la misma, hará pública el próximo 10 de abril.

• DRUPAL

• SA-CORE-2020-001: Drupal utiliza la librería de terceros CKEditor que da la posibilidad de contar con un editor HTML del tipo WYSIWYG (What You See Is What You Get) con el fin de facilitar el diseño web a los usuarios de la plataforma. En concreto existen dos vulnerabilidades en CKEditor del tipo Cross Site Scripting (XSS) que pueden permitir a atacantes remotos ejecutar secuencias de comandos web arbitrarias dentro de un elemento IFRAME, mediante la inyección de un elemento HTML diseñado en el editor. La explotación de las vulnerabilidades es posible siempre y cuando Drupal esté configurado para que los usuarios de un sitio web (incluidos los administradores del sitio con acceso privilegiado) tengan permitido el uso de CKEditor. 

Por el momento no se tiene conocimiento de reportes sobre una posible explotación activa por parte de ciberdelincuentes que aproveche estas vulnerabilidades, ni la disponibilidad de exploits o pruebas de concepto sobre los fallos en CKEditor. La base de datos del NIST por el momento tampoco ha registrado ningún CVE que identifique las vulnerabilidades respecto al CMS Drupal, no obstante, sí que se encuentran registrados CVEs sobre las vulnerabilidades concretas en la librería CKEditor:

•   CVE-2020-9281
•   CVE-2020-9440

Drupal ha calificado las vulnerabilidades como “moderadamente críticas”. 

Recursos afectados:

• JOOMLA!
•  CVE-2020-10243: Joomla! CMS versiones de la 1.7.0 a la 3.9.15.
•  CVE-2020-10239: Joomla! CMS versiones de la 3.7.0 a la 3.9.15.
• CVE-2020-10238: Joomla! CMS versiones de la 2.5.0 a la 3.9.15. 

• DRUPAL
• Drupal 8.8.x
• Drupal 8.7.x

Es importante destacar que las versiones de Drupal 8 anteriores a la 8.7.x han llegado al final de su vida útil y a día de hoy no reciben ningún tipo de soporte ni actualizaciones.

Solución a la vulnerabilidad

• JOOMLA!: En todos los casos expuestos se debe actualizar a la versión 3.9.16 del gestor de contenido Joomla! para solucionar las vulnerabilidades descritas. La actualización se encuentra disponible desde el siguiente enlace:
• https://downloads.joomla.org/

• DRUPAL: Drupal ha implementado mejoras en sus últimas versiones que actualizan la librería CKEditor a su versión 4.14. Por lo tanto, para solucionar las vulnerabilidades se deben aplicar las siguientes actualizaciones:
• Usuarios de Drupal 8.8.x, actualizar a Drupal 8.8.4.
• Usuarios de Drupal 8.7.x, actualizar a Drupal 8.7.12.

Recomendaciones

El CERT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

En el caso de Drupal, en caso de no poder aplicar las actualizaciones descritas, se recomienda deshabilitar el módulo CKEditor.

Respecto a los posibles usuarios de Drupal 7, el fabricante confirma que esta versión no se encuentra afectada por las vulnerabilidades, pero puede darse la situación de que la librería CKEditor se haya instalado de manera manual y se esté haciendo uso de ella. En ese caso Drupal recomienda actualizar cuanto antes a CKEditor 4.14 o superior, o bien que las URL de CDN apunten a una versión de CKEditor 4.14 o superior.

Referencias

• JOOMLA!:
• Joomla! Security Announcement 20200306
• Joomla! Security Announcement 20200305
• Joomla! Security Announcement 20200303
• HoangKien1020 / CVE-2020-10243

• DRUPAL:
• Drupal core - Moderately critical - Third-party library - SA-CORE-2020-001
• CKEditor 4 - Smart WYSIWYG HTML editor
• CVE-2020-9281
• CVE-2020-9440