El equipo de seguridad de Drupal acaba de anunciar que ya se encuentra disponible la actualización crítica de seguridad del core de la herramienta que soluciona un importantísimo problema de seguridad.
Tal y como ya se había comentado en un comunicado anterior, el equipo de seguridad de Drupal ha hecho público una importántisima actualización del core de esta herramienta para la gestión de contenidos que soluciona un grave problema de seguridad como consecuencia del no adecuado saneamiento, por parte de algunos campos, de datos de fuentes que no son formularios.
Para que un sitio se pueda ver afectado por esta vulnerabilidad se deben cumplir los siguientes requisitos:
- el sitio debe tener activado el módulo RESTful Web Services (rest) en Drupal 8 y permitir peticiones PATCH o POST, o
- el sitio tiene activado un módulo de web services, como puede ser JSON:API en Drupal 8 , o Services o RESTful Web Services en Drupal 7.
Para solucionar este problema de seguridad se han publicado las siguientes actualizaciones en función de la versión de Drupal que estemos empleando:
- Si usamos Drupal 8.6.x, se ha publicado la versión 8.6.10.
- Si usamos Drupal 8.5.x o anterior se ha publicado la versión 8.5.11.
- Una vez actualizado el core de nuestra herramienta debemos realizar las actualizaciones de seguridad de los módulos contribuidos también implicados en esta vulnerabilidad.
- No ha sido necesaria una actualización para el core de Drupal 7 pero si es necesario la actualización de diversos módulos contribuidos.
Toda la información sobre esta importante alerta de seguridad la podemos encontrar en el sitio web del equipo de seguridad de Drupal.