El equipo de seguridad de Drupal acaba de anunciar una alerta crítica de seguridad sobre el módulo contribuido Multiple Registration.
Se ha detectado que el módulo no comprueba lo suficiente qué roles pueden ser asignados a una usuario cuando éstos son registrados por un usuario con el rol de administrador. Aunque se trata de una brecha de seguridad crítica ésta se ve mitigada en aquellos sitios en los que se requiere la aprobación para el registro de usuarios por parte de un usuario con el rol de administración.
El módulo Multiple Registration permite asignar un rol específico para el registro de usuarios así como la creación de páginas y campos específicas para dicho registro.
Para solucionar esta vulnerabilidad de seguridad se ha publicado la actualización 8.x-2.8 que soluciona este problema, y dada la gravedad del mismo, se recomienda la actualización del mismo en el caso de que lo estemos empleado para la administración de nuestro sitio web.
Podemos encontrar toda la información en la página web de Drupal.
Multiple Registration - Critical - Access bypass - SA-CONTRIB-2019-048 https://t.co/NqZLnCj0C2
— Drupal Security (@drupalsecurity) May 15, 2019