El equipo de seguridad de Drupal ha emitido una alerta de seguridad sobre varios módulos contribuidos de la herramienta, alguno de ellos de carácter crítico.
Son tres lo módulos sobre lo cuales se ha emitido esta alerta de seguridad, dos de los cuales han sido calificados como críticos:
- Entity Registration.- Crítico.
El módulo Entity Registration nos permite solicitar información adicional durante el registro de usuarios para la generación de eventos o filtros. La vulnerabilidad detectada permitiría a un usuario anónimo poder ver, editar o borrar el registro de otros usuarios mediante el empleo de un simple patrón URL y dadas una serie de condiciones.
Se han publicado las versiones Registration 7.x-.1.7 y Registration 7.x-2.0-beta3 que solucionan este problema de seguridad. - OAuth 2.0 Client Login.- Crítico.
El módulo OAuth Client nos permite hacer login en nuestro sitio Drupal mediante nuestras credenciales de Google, Facebook, Twitter o cualquier otro servicio que emplee el estándar OAuth de autenticación. El módulo no sanitiza una variable generada por el módulo para gernerar la redirección del usuario y que podría ser empleada por un posible atacante para efectuar un ataque XSS.
Se ha publicado la versión miniOrange OAuth Client 7.x-1.21 que corrige esta brecha de seguridad. - Focal Point.- Moderadamente crítico.
Este módulo nos permite seleccionar qué parte de la imagen será mostrada cuando esta deba ser escalada o recortada para ser mostrada por pantalla. La vulnerabilidad detectada y que sólo afecta a la versión para Drupal 7 del módulo, esta relacionada con la falta de protección de ciertos atributos del formulario cuando estos son mostrados por el widget. El problema de seguridad se ve mitigado por el hecho de que el posible atacante tenga permisos para añadir marcas y al mismo tiempo para editar el nodo que contenga dicho widget. Se ha publicado la versión Focal Point 7.x-1.2 que soluciona este problema de seguridad.
Toda la información sobre esta alerta la podemos encontrar en el sitio web del equipo de seguridad de Drupal.
Entity Registration - Critical - Multiple Vulnerabilities - SA-CONTRIB-2019-017 https://t.co/RU3AfP25r1
— Drupal Security (@drupalsecurity) February 13, 2019
OAuth 2.0 Client Login (Single Sign-On) - Critical - Multiple Vulnerabilities - SA-CONTRIB-2019-016 https://t.co/elijyvJUIY
— Drupal Security (@drupalsecurity) February 13, 2019
Focal Point - Moderately critical - Cross site scripting - SA-CONTRIB-2019-015 https://t.co/Q7yopqKAoZ
— Drupal Security (@drupalsecurity) February 13, 2019
Fuente