El equipo de seguridad de Drupal acaba de publicar una alerta moderadamente crítica de seguridad en el módulo contribuido JSON:API.
El módulo contribuido JSON:API nos permite entregar contenido a terceras aplicaciones o dispositivos en formato JSON y es una de las piezas imprescindibles para el desarrollo de sitios desaclopados (decoupled) o sin cabeza (headless) en los que utilizamos nuestra instalación de Drupal como backend o repositorio de contenidos.
El módulo no verifica lo suficiente el acceso cuando responde a ciertas solicitudes filtradas de recopilación, lo que puede provocar una vulnerabilidad de omisión de acceso. Para solucionar esta vulnerabilidad se ha publicado la nueva versión JSON API 8.x-1.24 que soluciona el problema detectado.
Toda la información la podemos encontrar en el sitio web de Drupal.
JSON:API - Moderately critical - Access bypass - SA-CONTRIB-2018-081 https://t.co/NRDlPYOKlG
— Drupal Security (@drupalsecurity) December 19, 2018