El equipo de seguridad de Drupal acaba de emitir una alerta mútiple de seguridad en el core de la herramienta, alguna de ellas crítica, por lo que se hace indispensable su inmediata actualización.
Esta vulnerabilidad, que afecta a varios módulos del core de Drupal tanto de las versiones 7 y 8, ha sido codificada como SA-CORE-2018-006. Para corregirla se ha publicado la actualización de seguridad 7.60, 8.6.2 y 8.5.8. Todas las versiones anteriores a la 8.5 y 7.6 carecen de soporte por lo que no se publican actualizaciones de seguridad. Es estos casos se recomienda actualizar a la versión más reciente.
Las distintas brechas de seguridad que se han detectado son:
- Content Moderation (Moderación de contenido).- Moderadamente crítica: El módulo permite, bajo ciertas condiciones, que un usuario sin los permisos necesarios para ello pueda realizar ciertas transiciones en los estados de contenido.
- Inyección de una URL externa a través de los alias de URL.- Moderadamente crítica: Bajo ciertas circunstancias, un determinado usuario podría insertar un redireccionamiento hacia una URL maliciosa a través del módulo Path, con el que podemos crear URLs amigables para nuestra instalación de Drupal. Esta amenaza se ve mitigada por el hecho de que el usuario en cuestión debe poseer permisos de administración.
- Redireccionamiento malicioso a través de enlaces.- Moderadamente crítica.: En ciertas circunstancias un usuario podría insertar un redireccionamiento hacia una URL maliciosa empleando para ello el parámetro "destination" en las URLs de los enlaces utilizados para dirigir al usuario a un nuevo destino después de completar una determinada acción.
- Inyección de código en la clase DefaultMailSystem::mail(). CRÍTICA: a la hora de enviar un mail la clase no sanitiza (limpia, borra, oculta) algunos de los argumentos que se le han pasado a la clase por lo que podría facilitar la ejecución de código remoto.
- Validación de enlaces contextuales.- CRÍTICA: El módulo Contextual Links no valida los suficiéntemente las peticiones de enlaces contextuales. La amenaza se ve en parte mitigada por el hecho de que un posible atacante debe tener los permisos necesarios para ello.
Debido a la gravedad de las amenazadas detectadas y a la facilidad con la que un posible atacante podría construir una acción determinada una vez dadas a conocer las mismas, se recomienda la inmediata actualización de la herramienta. También se solicita prestar atención a las actualizaciones que ciertos módulos contribuidos deben realizar para paliar estas amenazas por hacer uso de las mencionadas funciones.
Toda la información en el sitio web de Drupal.
Drupal Core - Multiple Vulnerabilities - SA-CORE-2018-006 has been released. We have also released a number of contrib security updates. https://t.co/AIaOXcwJFd
— Drupal Security (@drupalsecurity) October 17, 2018