El equipo de seguridad de Drupal ha emitido una alerta moderadamente crítica sobre el módulo contribuido Search Automplete.
El módulo Search Autocomplete, una vez configurado, va añadiendo recomendaciones de búsqueda basadas en nuestro nodos cuando utilizamos un cuadro de búsqueda dentro del sitio.
El módulo no filtra adecuadamente los datos introducidos por el usuario lo cual podría permitir un ataque del tipo Cross Site Scripting (XSS), vulnerabilidad que pude ser empleada por cualquier usuario que disponga de permisos para utilizar el módulo.
Para solucionar esta vulnerabilidad se ha publicado la versión de Search Autocomplete 7.x-4.8. Toda la información la podemos encontrar en el sitio web de Drupal.
Search Autocomplete - Moderately critical - Cross Site Scripting - SA-CONTRIB-2018-070 https://t.co/fno53cD1UB
— Drupal Security (@drupalsecurity) October 17, 2018