El equipo de seguridad de Drupal acaba de anunciar una alerta crítica de seguridad en el módulo contribuido Custom Tokens.
El módulo Custom Tokens permite la creación de tokens personalizados en módulos específicos a través de Token API de Drupal. Los tokens son piezas de texto en un formato determinado que sirven para generar un determinado valor de manera dinámica. Por ejemplo, si quiero que el título de un determinado contenido sea utilizado para generar automáticamente la metaetiqueta de título en el módulo Metatags, lo haré con el valor "[node:title]". De esta manera, el título del nodo será renderizado en el HTML del <head> como <title>. Este módulo nos permite crear tokens de manera personalizada que complementaran a los ya incluidos en el core de Drupal.
La amenaza detectada estriba en que el módulo no advierte del hecho que asignar permisos de administración para éste supone un alto riesgo para el sistema, debiéndose asignar sólo a aquellos roles de confianza. Por lo tanto, la vulnerabilidad queda mitigada por el hecho de que el posible atacante debe tener dicho permiso previamente concedido.
Se recomienda actualizar a la última versión del módulo y posteriormente comprobar que sólo se ha dado permisos de administración a aquellos roles de confianza. Toda la información el sitio web de Drupal.