El equipo de seguridad de Drupal acaba de lanzar una alerta crítica de seguridad sobre el módulo contribuido Taxonomy Entity Queue por inyección de código SQL.
Este módulo nos permite crear colas personalizadas de entidades basadas en términos de taxonomía. La vulnerabilidad detectada permitiría a un posible atacante, con el permiso de administrador sobre el módulo, enviar una solicitud a la base de datos diseñada especialmente para realizar otras consultas adicionales.
Para solucionar este problema, que como comentamos queda mitigado por el hecho de que el posible atacante debe tener permisos de administrador sobre el módulo, se ha publicado la versión Taxonomy Entity Queue 7.x-1.1. Dada la peligrosidad de la amenaza, se recomienda encarecidamente su actualización.
Toda la información sobre esta amenaza la podemos encontrar en el sitio web de Drupal.