Drupal parchea vulnerabilidad en el motor de plantillas Twig

Las actualizaciones anunciadas por Drupal esta semana solucionan una grave vulnerabilidad en Twig que podría provocar la filtración de datos sensibles.

Drupal es un gestor de contenido web de código abierto basado en PHP que ha estado utilizando Twig como su motor de plantillas por defecto desde Drupal 8. 

La vulnerabilidad que se ha calificado como critica y asignada como CVE-2022-39261, podría permitir a un atacante cargar plantillas fuera de un directorio configurado, a través del gestor del sistema de archivos.

«Cuando se utiliza el gestor de archivos para cargar plantillas cuyo nombre es una entrada del usuario, es posible utilizar la sentencia source o include para leer archivos arbitrarios desde fuera del directorio de plantillas cuando se utiliza un espacio de nombres como @somewhere/../some.file (en tal caso, se omite la validación).»

Explicación de Twig.

Twig ha mitigado el fallo con el lanzamiento de las versiones 1.44.7, 2.15.3 y 3.4.3.

“Un atacante podría acceder a escribir código en Twig, dando lugar a múltiples vulnerabilidades, incluyendo el acceso de lectura sobre archivos privados, el contenido de diversos archivos en el servidor, o las credenciales de la base de datos.»

Nota informativa de Drupal.

La vulnerabilidad está mitigada por el hecho de que un exploit sólo es posible en el núcleo de Drupal con permisos administrativos de acceso restringido. Sin embargo, Drupal señala que el código aportado o personalizado que permite a los usuarios escribir plantillas puede crear rutas de explotación adicionales.

Versiones afectadas

 >= 8.0.0 <9.3.22 || >= 9.4.0 <9.4.7

Solución

Instale la última versión;

Si esta utilizando Drupal 9.4, actualice a Drupal 9.4.7.

Si utiliza Drupal 9.3, actualice a Drupal 9.3.22.

Todas las versiones de Drupal 9 anteriores a la 9.3.x están al final de su vida útil y no recibirán soporte de seguridad. Tenga en cuenta que Drupal 8 ha llegado al final de su vida útil.

El núcleo de Drupal 7 no incluye Twig y por lo tanto no está afectado.

Más información

https://www.drupal.org/sa-core-2022-016https://www.securityweek.com/drupal-updates-patch-vulnerability-twig-template-engine

La entrada Drupal parchea vulnerabilidad en el motor de plantillas Twig se publicó primero en Una al Día.