El equipo de seguridad de Drupal acaba de emitir una alerta moderadamente crítica de seguridad sobre el módulo contribuido Maxlength.
El módulo contribuido Maxlength de Drupal nos permite establecer el número máximo de caracteres de cualquier campo. El módulo incluye debajo del campo del formulario en el que estemos editando el contenido el número de caracteres que nos quedan para llegar al límite que ha sido estipulado. Se ha detectado que el modulo no filtra suficientemente las cadenas lo cual puede provocar o favorecer un ataque del tipo Cross-site Scripting.
La gravedad de la vulnerabilidad se ve mitigada por el hecho de que el posible código malicioso no se activará en la navegación del usuario UID 1 ni en ningún otro usuario para el que hayamos activado en la configuración la opción de "saltarse" dicha restricción.
Para solucionar este problema, que sólo se reproduce en la versión de Drupal 7 del módulo, se ha publicado la actualización Maxlength 7.x-3.3 que soluciona esta brecha. Podemos encontrar toda la información relativa a esta alerta en el espacio web del Drupal Security Team.
Maxlength - Moderately critical - Cross Site Scripting - SA-CONTRIB-2019-073 https://t.co/CBm8mWW1ma
— Drupal Security (@drupalsecurity) October 9, 2019