El equipo de seguridad de Drupal ha emitido una alerta crítica de seguridad sobre el módulo contribuido Custom Permissions.
El módulo Custom Permission permite gestionar una serie de permisos adicionales a los ya gestionados por el core de la herramienta, a través de una interfaz de administración. El módulo no verifica suficientemente los permisos de acceso, por lo que un posible atacante podría acceder directamente a las opciones de configuración del mismo. Este posible atacante no tiene por qué estar registrado en el sitio y sólo debe conocer el path de acceso a la interfaz de configuración del módulo, el cual no es complicado de obtener.
Para solucionar esta vulnerabilidad se ha publicado la actualización 8.x-1.2. Dada la gravedad de la amenaza se recomienda encarecidamente la actualización del mismo en el caso de que empleemos el módulo en nuestra instalación de Drupal.
Podemos encontrar toda la información sobre esta vulnerabilidad en el espacio web del equipo de seguridad de Drupal.
Custom Permissions - Critical - Access bypass - SA-CONTRIB-2019-055 https://t.co/CvAhGW06ll
— Drupal Security (@drupalsecurity) July 10, 2019