El equipo de seguridad de Drupal acaba de emitir una alerta crítica de seguridad en el core de la herramienta producida por el módulo experimental Worspaces.
Si la versión de Drupal que tenemos instalada para nuestro sitio web es la 8.7.4 y además tenemos activado el módulo del núcleo experimental Workspaces, un posible atacante podría acceder a nuestro sitio saltándose cualquier restricción de acceso.
Si bien, dada la gravedad de la vulnerabilidad detectada, para que esta brecha de seguridad pueda ser explotada se deben dar una serie de condiciones. La primera de ellas es que la versión de Drupal que estemos utilizando sea la 8.7.4, no viéndose afectadas otras versiones que no sean ésta. Por otra parte, debemos tener activado el módulos del núcleo experimental Workspaces, no existiendo riesgo alguno si ésto nos así. En el caso de que lo tengamos activado, con desactivarlo queda anulada la amenaza. La última versión publicada, la 8.7.5, anula este problema de seguridad pudiendo utilizar el módulo sin ningún problema.
Por último, en aquellos sitios que tengan activado el módulos Workspaces y actualicen su versión, la ejecución de update.php limpiará las cachés, pero en el caso de que estemos empleando un proxy de cache o un CDN, deberemos limpiar todas las caches allí almacenadas para eliminar definitivamente el problema.
Podemos encontrar toda la información sobre esta vulnerabilidad en el sitio web del equipo de seguridad de Drupal.
Drupal core - Critical - Access bypass - SA-CORE-2019-008 -- https://t.co/nute5q5hpi
— Drupal Security (@drupalsecurity) July 17, 2019