El equipo de seguridad de Drupal ha emitido una alerta critica de seguridad sobre el módulo contribuido Session Limit.
El módulo Session Limit permite a los administradores del sitio establecer el número máximo de sesiones que un usuario puede tener abiertas simultáneamente en el sitio, lo cual nos permite implementar acciones de seguridad importantes para su integridad.
Se ha detectado que cuando un usuario, el cual tiene varias sesiones abiertas, intenta establecer una nueva sesión que excede el número permitido, al preguntarle si desea cerrar alguna de las sesionas abiertas anteriormente y ofrecer un listado con dichas sesiones, el módulo no realiza de manera correcta el filtrado de este listado, pudiendo ofrecer datos de sesiones de otros usuarios.
La vulnerabilidad se ve mitigada por el hecho de que el posible atacante debe poder interceptar antes el contenido HTML de la página, para lo cual previamente se tiene que producir un ataque del tipo Cross Site Scripting.
Se han publicado las versiones 7.x-2.3 y 8.x-1.0-beta-3 las cuales corrigen este problema.
Toda la información el sitio de Drupal Security Team.
Session Limit - Critical - Insecure Session Management - SA-CONTRIB-2018-072 https://t.co/CnvQ7WbyMZ
— Drupal Security (@drupalsecurity) October 31, 2018