El equipo de seguridad de Drupal ha emitido una alerta moderadamente crítica sobre el módulo contribuido "Localization update".
El módulo contribuido Localization update nos permite descargar y actualizar de manera automática las traducciones del core y de los módulos que tengamos activados desde el servidor de Drupal localize.drupal.org o desde cualquier otro servidor que nos provea de estas traducciones. Se ha detectado que el módulo no protege suficientemente el directorio donde almacena los ficheros descargados con las traducciones, debiéndose realizar esta acción de manera manual a través del archivo .htaccess.
La vulnerabilidad se ve mitigada por el hecho que el posible atacante no posee los permisos necesarios para subir un fichero a este directorio.
Para solucionar este problema se han publicado las versiones Localization update 7.x-1.2 y Localization update 7.x-2-3 que solucionan el problema mencionado.
Podemos encontrar toda la información en el espacio web del Equipo de Seguridad de Drupal.
Localization update - Moderately critical - Insecure server configuration - SA-CONTRIB-2019-072 https://t.co/eykt5x3CsX
— Drupal Security (@drupalsecurity) October 2, 2019