El equipo de Backdrop CMS acaba de informar de múltiples vulnerabilidades descubiertas en el núcleo de esta herramienta de gestión de contenidos.
Backdrop CMS es un fork de Drupal 7, por lo que su desarrollo parte del núcleo de ésta. Las vulnerabilidades descubiertas son, por lo tanto, las mismas que han sido anunciadas por el equipo de seguridad de Drupal:
- Sistema de prevención de JavaScript Cross-site Scripting es incompleto.- Crítico
- Evitar la restricción de acceso a archivos privados.- Moderadamente crítico. El sistema que chequea que un usuario pueda tener acceso a los archivos privados del sitio web puede fallar en unas determinadas condiciones.
- Vulnerabilidad JQuery con dominios que no son de confianza. Moderadamente crítico. La vulnerabilidad del tipo cross site scripting se ve mitigada por el hecho de que sólo puede ser explotada por un módulo contribuido o personalizado. En Drupal 8 la vulnerabilidad fue solucionada con la versión 8.4 y el empleo de una nueva versión de JQuery.
- Inyección de links externos en páginas 404 cuando se enlaza a la página actual.- Menos crítico. Esta vulnerabilidad podría permitir a un atacante engañar a un usuario para que navegue hacia un sitio externo cuando intenta acceder a una página no existente y salte el error 404.
Para solucionar estas brechas de seguridad se recomienda encarecidamente actualizar a la última versión de Backdrop publicada, la 1.9.2.
Toda la información en el sitio web de Backdrop.