CISA ordena parchar urgentemente vulnerabilidad de inyección SQL explotada activamente en Drupal
La vulnerabilidad de inyección SQL en Drupal ya está siendo explotada activamente: CISA la agregó al catálogo KEV y ordenó a agencias federales parchear en 48 horas. Si la empresa o alguno de sus proveedores opera sitios en Drupal, existe riesgo de extracción de datos de la base de datos subyacente. Un sitio web comprometido puede ser también el punto de entrada a la red interna.
Contexto
CISA incluyó una vulnerabilidad de inyección SQL en Drupal CMS en su catálogo de vulnerabilidades explotadas conocidas (KEV) y dio a las agencias federales estadounidenses hasta el miércoles para parchearlo. La inyección SQL permite a atacantes manipular consultas a la base de datos del sitio, potencialmente extrayendo o modificando toda la información almacenada. Drupal es usado ampliamente en sitios institucionales, gubernamentales y corporativos de México.
Impacto potencial
Un sitio Drupal comprometido puede exponer datos de usuarios, clientes o empleados registrados en la plataforma. Dependiendo de la configuración del servidor, el atacante puede escalar desde la base de datos hacia el sistema de archivos o la red interna. Si el sitio procesa pagos o datos personales, una brecha activa obligaciones de notificación bajo normativas aplicables.
Recomendaciones
- Actualizar Drupal a la versión parcheada más reciente de forma inmediata.
- Inventariar todos los sitios en Drupal administrados directamente o por agencias y proveedores externos.
- Revisar logs de acceso de los últimos 30 días por queries anómalas o errores de base de datos inusuales.
- Si el sitio está en producción y no puede parcharse de inmediato, considerar activar un WAF con reglas específicas para inyección SQL como medida temporal.