Un bug en Symfony hace a Drupal vulnerable

Drupal, un conocido sistema de control de contenidos (CMS) libre acaba de publicar una actualización para parchear una vulnerabilidad que permite a un atacante hacerse con el control del sitio web vulnerable.

Esta vulnerabilidad, la CVE-2018-14773, se debe a un fallo en un componente del framework PHP Symfony, concretamente en el HttpFoundation, usado en el núcleo de Drupal y afecta a las versiones de Drupal 8.x anteriores a la 8.5.6.

Tal y como indica Symfony en su comunicado, la vulnerabilidad se debe al soporte de Symfony a cabeceras HTTP heredadas y peligrosas:

El soporte para un encabezado IIS (heredado) que permite a los usuarios sobrescribir la ruta en la solicitud de la URL a través de la cabecera de la petición HTTP X-Original-URL o X-Rewrite-URL permite a un usuario acceder a una URL pero hacer que Symfony devuelva una diferente que puede eludir las restricciones en cachés de nivel superior y servidores web.

La solución elimina el soporte para estos dos encabezados de IIS obsoletos: X-Original-URL y X_REWRITE_URL.