El equipo de seguridad de Drupal acaba de emitir una alerta crítica de seguridad en la distribución Open Social para la creación de comunidades online.
Open Social es una distribución out of the box de Drupal 8 para la construcción de comunidades online. Una solución out of the box nos permite instalar una herramienta que nos ofrece en su conjunto todo lo necesario para cubrir una necesidad. De esta manera, Open Social nos ofrece en una sola instalación todo lo necesario para construir una comunidad online, intranet, etc.
Dentro del conjunto de funcionalidades que incluye Open Social está el módulo Social Magic Login el cual se ha detectado no valida suficientemente los inicios de sesión de aquellas cuentas de usuario que no poseen una contraseña local y acceden a nuestro sitio a través de sistemas de verificación externos, lo que permitiría que un posible atacante falsifique la URL de inicio de sesión de un usuario y pueda acceder a su cuenta.
La vulnerabilidad se ve mitigada por el hecho de que para que el sitio sea vulnerable este módulo (que no está activado por defecto) esté activado. Para solucionar esta importante vulnerabilidad se han publicado las versiones Open Social 8.x-7.1 y Open Social 8.x-6.5. Si no podemos actualizar inmediatamente, la solución más rápida para solucionar la brecha de seguridad es desactivar el módulo Social Magic Login.
Podemos encontrar toda la información sobre esta vulnerabilidad en el espacio web del Drupal Security Team.
Open Social - Critical - Insecure Session Management - SA-CONTRIB-2019-075 https://t.co/7w9PDcmvKd
— Drupal Security (@drupalsecurity) November 6, 2019