El equipo de seguridad de Drupal acaba de emitir una alerta crítica de seguridad sobre el módulo contribuido ImageCache Actions.
El módulo contribuido ImageCache Actions de Drupal nos provee de una serie de funcionalidades para añadir una serie de efectos adicionales a los estilos de las imágenes. El módulo esta compuesto, entre otros, de un submódulo de administración que adicionalmente permite duplicar, exportar e importar estilos de imágenes.
El módulo emplea la función unserialize() para importar estilos de imágenes de otros sitios dónde es sabido que existen problemas de seguridad al procesar inputs potencialmente peligrosos. La vulnerabilidad se ve mitigada por el hecho de que el submódulo "Administrar estilos de imágenes" debe estar activado y el posible atacante debe tener permisos de administración sobre dicho submódulo.
Para solucionar este problema de seguridad, que sólo afecta a la versión para Drupal 7, se ha publicado la actualización 7.x-1.10. Esta nueva actualización introduce un nuevo permiso, denominado "Importar estilos de imágenes" que está desactivado por defecto.
Podemos encontrar toda la información sobre vulnerabilidad en el sitio web de Drupal.
ImageCache Actions - Critical - Multiple Vulnerabilities - SA-CONTRIB-2019-056 https://t.co/XIxp2jN9IN
— Drupal Security (@drupalsecurity) July 17, 2019