Descubiertas múltiples vulnerabilidades en el núcleo de Drupal

Enviado por Daniel Muñoz Egido el Jue, 22/02/2018 - 10:14
logotipo de drupal junto a la imagen de un candado

El equipo de seguridad de Drupal acaba de informar del descubrimiento de múltiples vulnerabilidades en los núcleos de las versiones 7 y 8 de este popular gestor de contenidos.

Las brechas de seguridad descubiertas por el equipo de seguridad de Drupal han sido las siguientes:

  • El formulario de respuesta al comentario de una publicación permite el acceso a contenido restringido.- Crítico (D8).
  • Sistema de prevención de JavaScript Cross-site Scripting es incompleto.- Crítico (D7 y D8).
  • Evitar la restricción de acceso a archivos privados.- Moderadamente crítico (D7). El sistema que chequea que un usuario pueda tener acceso a los archivos privados del sitio web puede fallar en unas determinadas condiciones.
  • Vulnerabilidad JQuery con dominios que no son de confianza. Moderadamente crítico (D7). La vulnerabilidad del tipo cross site scripting se ve mitigada por el hecho de que sólo puede ser explotada por un módulo contribuido o personalizado. En Drupal 8 la vulnerabilidad fue solucionada con la versión 8.4 y el empleo de una nueva versión de JQuery.
  • Recuperación de idioma en sitios multilingües puede no ser correcta cuando se han establecido restricciones de acceso a determinado nodos.- Moderadamente crítico (D8).
  • Eludir permisos de acceso del módulo Settings Tray.- Moderadamente crítico (D8). Este módulo, actualmente en el núcleo experimental y que será estable en Drupal 8.5, nos permite acceder a las opciones más frecuentes de configuración de un bloque directamente desde el front-end del sitio. Esta vulnerabilidad permite a un usuario no autorizado acceder a ciertas opciones de configuración para las cuales no tiene acceso.
    Esta brecha de seguridad se soluciona deshabilitando dicho módulo.
  • Inyección de links externos en páginas 404 cuando se enlaza a la página actual.- Menos crítico (D7). Esta vulnerabilidad podría permitir a un atacante engañar a un usuario para que navegue hacia un sitio externo cuando intenta acceder a una página no existente y salte el error 404.

Todas estas vulnerabilidad son solucionadas con las últimas actualizaciones del core de Drupal, la 8.4.5 y 7.57. Se recomienda encarecidamente realizar dicha actualización.

Toda la información se puede encontrar en el sitio web de Drupal.

 

Fuente
Drupal

Etiquetas

Contenido relacionado

Drupal 10 está aquí. ¿Qué novedades nos trae?
Drupal 10, dos meses para su llegada
Drupal, alerta de seguridad [17/11/2021]
Drupal, actualización de seguridad [17/09/21]
Drupal, actualización crítica de seguridad [23/07/21]