El equipo de seguridad de Drupal ha emitido una alerta crítica de seguridad sobre el módulo contribuido HTML Mail que permitiría la inyección de código remoto.
El módulo contribuido HTML Mail nos permite formatear los mails enviados por el sistema con los mismo estilos que empleamos en el tema empleado en nuestra instalación. Al enviar el email, se ha detectado que algunas variables pasadas en los argumentos de la función nos son correctamente sanitizados (eliminados, borrados, ocultados), por lo que permitiría a un posible atacante inyectar código remoto.
Esta alerta deriva de la alerta crítica de seguridad en el core de Drupal sobre algunos módulos y funciones de la herramienta que se ha publicado recientemente.
Esta vulnerabilidad afecta sólo a la versión para Drupal 7 y se ha publicado la versión de HTML Mail 7.x-2.71 que soluciona dicha amenaza. También se ha publicado una actualización que sólo incluye un parche de seguridad para la versión 7.x-2.66.
Toda la información en el sitio web de Drupal.
HTML Mail - Critical - Remote Code Execution - SA-CONTRIB-2018-069 https://t.co/khcQ581GSo
— Drupal Security (@drupalsecurity) October 17, 2018