El equipo de seguridad de Drupal ha emitido una alerta de seguridad sobre los módulos contribuidos "Menu Items Extras" y "Workflow", ambos de carácter moderadamente críticas.
El módulo Menu Items Extra nos permite añadir campos personalizados a los ya establecidos por el core de Drupal para la definición de los diferentes items que conforman un menú. Se ha detectado que el módulo no controla suficientemente si un usuario determinado tiene permisos para administrar menús en el sistema. Para solucionar esta vulnerabilidad se ha publicado la versión 8.x-2.5 que soluciona este problema.
Menu Item Extras - Moderately critical - Cross Site Request Forgery - SA-CONTRIB-2019-050 https://t.co/AMzAoCU0s0
— Drupal Security (@drupalsecurity) May 22, 2019
Por su parte, el módulo Workflow nos permite establecer diferentes flujos de trabajo y asignarlos a entidades determinadas. Según se ha podido comprobar, el módulo no escapa sufientemente al HTML en la configuración de campo lo que podría permitir un ataque del tipo Cross-site Scripting (XSS). La amenaza se ve mitigada por el hecho que el posible atacante debe tener permisos para administrar nodos y administrar flujos de trabajo. Para su solución, se ha publicado la versión 7.x-2.12 para Drupal 7. La brecha de seguridad no se ve reproducida para la versión 8 de este sistema para la gestión de contenidos.
Workflow - Moderately critical - Cross Site Scripting - SA-CONTRIB-2019-049 https://t.co/VatWk1eL95
— Drupal Security (@drupalsecurity) May 22, 2019
Podemos encontrar toda la información sobre estas alertas de seguridad en el sitio web de Drupal.