El equipo de seguridad de Drupal ha emitido una alerta moderadamente crítica sobre el módulo contribuido "Ubercart" para la creación tiendas online.
El módulo (o conjunto de módulos) Ubercart nos permite desarrollar una tienda online completamente funcional y con todas aquellas características que poseen los actuales portales de comercio electrónico. Se ha detectado que el módulo no sanitiza (protege u oculta) de manera adecuada los inputs de los usuarios cuando se emiten las facturas de los pedidos, lo que podría permitir un ataque de tipo Cross-site Scripting (XSS).
La vulnerabilidad se ve mitigada por el hecho de que el posible atacante debe poseer el permiso para editar pedidos. Para su solución se ha publicado la actualización Ubercart 7.x-3.13.
Podemos encontrar toda la información sobre esta alerta de seguridad en el espacio web del equipo de seguridad de Drupal.
Ubercart - Moderately critical - Cross site scripting - SA-CONTRIB-2019-070 https://t.co/szKF5f15CJ
— Drupal Security (@drupalsecurity) October 2, 2019