Varias alertas de seguridad en módulos y temas contribuidos de Drupal (Julio 2018)

El equipo de seguridad de Drupal ha lanzado varias alertas de seguridad sobre diversos módulos y temas contribuidos.

Las alertas que se han lanzado se corresponde a los siguientes módulos y temas contribuidos:

• Tapestry.- Alerta moderada.- 7.x: sencillo tema que nos permite realizar un gran número de opciones de configuración de color, regiones, bloques personalizados, etc. La vulnerabilidad detectada está relacionada con el insuficiente saneamiento que éste hace de los usuarios bajo ciertas opciones de configuración.
  Para solventar este problema se recomienda actualizar a la última versión publicada Tapestry 7.x-2.2.
   

  Tapestry - Moderately critical - Cross Site Scripting - SA-CONTRIB-2018-051 https://t.co/Uu3ti5zEuV

  — Drupal Security (@drupalsecurity) July 11, 2018

   

• litejazz.- Alerta moderada.- 7.x: el tema, igual que en el punto anterior, no sanea adecuadamente a los usuarios que visitan el sitio que emplea este tema bajo ciertas condiciones de configuración.
  Para solventar este problema se ha publicado la versión litejazz 7.x-2-3.
   

  litejazz - Moderately critical - Cross Site Scripting - SA-CONTRIB-2018-050 https://t.co/0T1nEgQ49X

  — Drupal Security (@drupalsecurity) July 11, 2018

   

• NewsFlash.- Alerta moderada.- 7.x: el tema no sanea suficientemente a los usuarios del sitio bajo ciertas opciones de configuración. La última versión publicada NewsFlash 7.x-2.6 soluciona este hecho.
   

  NewsFlash - Moderately critical - Cross Site Scripting - SA-CONTRIB-2018-049 https://t.co/iNe6mNcNpz

  — Drupal Security (@drupalsecurity) July 11, 2018

   

• Beale Street.- Alerta moderada.- 7.x: el tema no sanea suficientemente a los usuarios bajo ciertas opciones de configuración. Actualizar a la última versión publicada soluciona esta vulnerabilidad Beale Street 7-x1.2.
   

  Beale Street - Moderately critical - Cross Site Scripting - SA-CONTRIB-2018-048 https://t.co/apFPEAYtcV

  — Drupal Security (@drupalsecurity) July 11, 2018

   

• EU Cookie Compliance.- Alerta moderada.- 7.x y 8.x: este módulo nos permite cumplir con la GDPR o Ley General de Protección de Datos informando y obteniendo el consentimiento explícito de nuestros usuarios para instalar cookies propias y de terceros en el navegador de éstos.
  La alerta de seguridad detectada consiste en la falta de saneamiento de algunas entradas que pueden permitir un ataque el tipo Cross Site Scripting (XSS), lo cual se ve mitigado por el hecho de que el posible atacante debe disponer de permisos de administración sobre el módulo.
  Para solucionar el problema se recomienda actualizar a las últimas versiones publicadas, 7.x-1.24 y 8.x-1.1.
   

  EU Cookie Compliance - Moderately critical - Cross Site Scripting - SA-CONTRIB-2018-047 https://t.co/ZgU8QeftkQ

  — Drupal Security (@drupalsecurity) July 11, 2018

   

• Commerce Custom Order Status.- Alerta moderada.- 7.x: este módulo permite a los administradores del sitio crear, editar y borrar el estado de un pedido desde la pantalla de configuración.
  El módulo no sanea lo suficiente la salida de las etiquetas de estado lo que puede permitir a un posible atacante, bajo ciertas opciones de configuración, realizar un ataque del tipo Cross Site Scripting (XSS).
  La últma versión publicada 7.x-1.1 soluciona este hecho.
   

  Commerce Custom Order Status - Moderately critical - Cross Site Scripting - SA-CONTRIB-2018-046 https://t.co/7wtZ9wlPQI

  — Drupal Security (@drupalsecurity) July 11, 2018

   

Toda la información sobre todas estas alertas de seguridad la podemos encontrar el sitio web de Drupal.