El equipo de seguridad de Drupal ha lanzado varias alertas críticas de seguridad de módulos contribuidos, algunos de los cuales han pasado a estar "no soportados" al no ser corregidas dichas vulnerabilidades por parte de sus desarrolladores.
Los módulos contribuidos sobre los que se han lanzado estas alertas son:
- SVG Formatter: alerta crítica de seguridad por Cross Site Scripting.
El módulo no controla de suficientemente que el código cargado con un archivo .svg no contenga código malicioso. Esta vulnerabilidad se ve mitigada por el hecho de que un posible atacante debe tener los permisos necesarios para crear contenidos en los cuales se pueden subir este tipo de archivos.
Para solucionar esta vulnerabilidad se ha publicado la versión SVG Formater 8.x-1.06. - Scrollable Content: alerta crítica de seguridad por ser retirado el soporte a dicho módulo.
Los desarrolladores del módulo no han solucionado una brecha de seguridad conocida por lo que se retira el soporte del equipo de seguridad de Drupal y se recomienda su desinstalación. - Simple Taxonomy Revision. alerta crítica de seguridad por ser retirado el soporte a dicho módulo.
Los desarrolladores del módulo no han solucionado una brecha de seguridad conocida por lo que se retira el soporte del equipo de seguridad de Drupal y se recomienda su desinstalación - KCFinder integration: alerta crítica de seguridad por ser retirado el soporte a dicho módulo.
Los desarrolladores del módulo no han solucionado una brecha de seguridad conocida por lo que se retira el soporte del equipo de seguridad de Drupal y se recomienda su desinstalación. - Multi-Step Registration: alerta crítica de seguridad por ser retirado el soporte a dicho módulo.
Los desarrolladores del módulo no han solucionado una brecha de seguridad conocida por lo que se retira el soporte del equipo de seguridad de Drupal y se recomienda su desinstalación.
Una información más detallada se puede encontrar en el sitio web del equipo de seguridad de Drupal.
Fuente