Alerta crítica de seguridad en el módulo contribuido de Drupal "Easy Breadcrumb"

Enviado por Daniel Muñoz Egido el Jue, 20/06/2019 - 09:44
imagen de una página web y como se configuraría el breadcrumb a partir de su url

El equipo de seguridad de Drupal acaba de lanzar una alerta crítica de seguridad sobre el módulo contribuido "Easy Breadcrumb".

El módulos Easy Breadcrumb es ampliamente utilizado en sitios de Drupal ya que nos permite generar las breacrumbs a partir de la ruta URL del contenido, lo que resulta realmente útil cuando éstas son relativamente complejas e incluyen, por ejemplo, algún tipo de vista.

La vulnerabilidad que se ha detectado permitiría un ataque del tipo Cross-site Scripting ya que no sanitiza suficientemente los inputs de los usuarios. Ya que la aplicación no requiere de permisos adicionales de usuario, ésta vulnerabilidad se puede ver mitigada en cierta medida si se deshabilita la opción "Permitir etiquetas HTML en las breadcrumbs" dentro de las opciones de la herramienta, opción que se encuentra habilitada por defecto. Este problema de seguridad sólo afecta a la versión para Drupal 7, y para su solución se ha publicado la actualización 7.x-2.17, a la cual se recomienda actualizar inmediatamente dada la gravedad del problema.

Para terminar, sólo recordarte que, si bien siempre es recomendado, deberemos poner nuestro sitio en mantenimiento antes de realizar la actualización, ya que el módulo es ampliamente demandado en un sitio en producción por lo que puede que nos de algún error si no realizamos correctamente este proceso.

 

 

Etiquetas