El equipo de seguridad de Drupal ha emitido una alerta crítica de seguridad en el módulo contribuido "Advanced Forum" y que podría permitir una ataque de tipo Cross-site scripting.
El módulo contribuido "Advanced Forum" incrementa las funcionalidades del módulo "Foro" incluido en el core de esta herramienta para la gestión de contenidos, y junto con otros módulos contribuidos, los cuales son automáticamente instalados con este módulo, nos permite generar un foro con las mismas características que nos ofrecen otros programas específicos para la generación de este tipo de contenidos. Al desplegarse a través de un módulo del core, ésto les permite utilizar el sistema de nodos y comentarios para generar el foro, lo cual le permite una completa integración con el restos de elementos del sistema.
Se ha detectado que el módulo no sanitiza las entradas de usuario en determinadas circunstancias, lo cual no es posible deshabilitar dentro de las funcionalidades del módulo, y que podría permitir un ataque del tipo Cross-site scripting. La peligrosidad de esta vulnerabilidad se ve mitigada por el hecho de que un posible atacante debe tener un rol con permisos para crear contenidos del foro.
Para solucionar este problema de seguridad se ha publicado la versión 7.x-2.8, versión a la que se recomienda encarecidamente actualizar si utilizamos este módulo, bastante extendido en la comunidad Drupal. Podemos encontrar toda la información relativa a esta vulnerabilidad en el sitio web del equipo de seguridad de Drupal.
Advanced Forum - Critical - Cross Site Scripting - SA-CONTRIB-2019-054 https://t.co/ER92HJTjr1
— Drupal Security (@drupalsecurity) June 26, 2019