Según el aviso publicado hace unos días, la vulnerabilidad reside en dos cabeceras X-Original-URL o X-Rewrite-URL, las cuales podrían permitir a un atacante remoto hacer que estas cabeceras retornen una URL diferente, evitando cualquier control o restricción en los servidores Web. Para poder solucionar este problema, Symfony quito el soporte para estas dos cabeceras de IIS.
Symfony reparo esta vulnerabilidad en las versiones 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14, y 4.1.3 y drupal corrigió la falla en la versión 8.5.6.
Esta no es la única vulnerabilidad grave que han detectado en este CMS durante este año, también fue la vulnerabilidad que llamaron Drupalgeddon , la cual después de haberse publicado la POC de la explotación de la vulnerabilidad, miles de sitios fueron vulnerados.
Ultimamente han habido casos en que por no realizar la actualización de los equipos a tiempo, han sacado provecho de vulnerabilidades no parcheadas, por tanto es necesario que los administradores de los CMS, realicen el proceso correspondiente de actualización.
