El equipo de seguidad de Drupal ha emitido varias alertas de seguridad en los módulos contribuidos Phone Field, Provision y Aegir HTTPS.
El módulo contribuido Phone Field permite insertar en una tipología de contenido un campo de tipo teléfono con soporte para HTML tel:-schema. La vulnerabilidad detectada, de carácter crítico, se produce por la falta de sanitización del campo cuando se realizan consultas a la base de datos, lo que podría permitir a un posible atacante hacerse con dicha información. Para solucionarlo se ha publicado la nueva actualización Phone Field 7.x-1.1.
Provision es un módulo contribuido que actúa dentro del core de Aegir, un programa de control del hosting web basado en Drupal que nos proporciona una interfaz gráfica para la gestión de una red de instalaciones de Drupal. El módulo no protege suficientemente el código en instalaciones multisitio en servidores Apache, aunque se ve mitigado por el hecho de que el usuario debe conocer las credenciales de acceso al servidor, por lo que se ha calificado la amenaza como moderadamente crítica. Para su solución, se ha publicado la versión Provision 7.x-3.170.
También dentro de Aegir se ha detectado una vulnerabilidad en el módulo contribuido Aegir HTTPS, el cual, también como parte del core de esta distribución, no protege suficientemente las instalaciones multisitio. La amenaza se encuentra mitigada por el hecho de que la instalación debe estar sobre Apache y el atacante debe conocer las credenciales de acceso al servidor. Se ha publicado la actualización Aegir HTTPS 7.x-3.170 que soluciona dicha amenaza.
Podemos encontrar toda la información sobre estas alertas en el sitio web de Drupal Security.
Phone Field - Critical - SQL Injection - SA-CONTRIB-2019-001 https://t.co/tHfxqLMt1I
— Drupal Security (@drupalsecurity) January 9, 2019
Provision - Moderately critical - Access bypass - SA-CONTRIB-2019-002 https://t.co/C2yGNBiztg
— Drupal Security (@drupalsecurity) January 9, 2019
Aegir HTTPS - Moderately critical - Access bypass - SA-CONTRIB-2019-003 https://t.co/SV28NFAPBq
— Drupal Security (@drupalsecurity) January 9, 2019