Drupal: alerta de seguridad en el módulo contribuido "Taxonomy access fix"

Enviado por Daniel Muñoz Egido el Jue, 12/12/2019 - 10:06
panel de administración de los permisos de taxonomías de Drupal

El equipo de seguridad de Drupal ha emitido una alerta moderadamente crítica de seguridad sobre el módulo contribuido "Taxonomy Access Fix".

El módulo Taxonomy Access Fix añade una serie de funcionalidades adicionales a las proporcionadas por el core de Drupal para la gestión de los permisos sobre las taxonomías, como puede ser:

  • Añade uno o dos permisos por vocabulario: "Añadir términos al vocabulario mi_vocabulario / Reordenar términos en mi_vocabulario.
  • Modifica la forma en la que gestionamos los permisos de vocabularios específicos.
  • Cambia el sistema de verificación para el acceso  a las páginas de administración de las Taxonomías.
  • Modifica la tabla de visualización de vocabularios cuando accedes al modo de edición o borrado de un vocabulario determinado o sus elementos.

Se ha comprobado que el módulo no verifica suficientemente:

  • Si en una determinada entidad se debería controlar el acceso, se establece por defecto el acceso incluso cuando los términos de taxonomía no han sido publicados.
  • Si en determinadas rutas de administración se debería controlar el acceso, por defecto se permite el acceso incluso a usuarios sin los permisos necesarios para acceder a dichas rutas de administración.

La vulnerabilidad se mitigada por el hecho de:

  • La interfaz de usuario para modificar el status de los términos de una taxonomía ha sido actualizada en el core de Drupal 8.8 y un módulo personalizado o contribuido es necesario en esta última versión del core  para poder marcar una término de taxonomía como no publicado.
  • Todas las operaciones sobre entidades (excepto las operaciones sobre vistas) disponibles en la rutas de administración que se pueden ver afectadas por esta vulnerabilidad todavía requieren de los permisos apropiados para ello.
  • Un posible atacante debe poseer un rol con los permisos necesarios ya sea para acceder al contenido o para ver términos de taxonomía en un vocabulario.

Para solucionar este problema de seguridad se ha publicado la actualización del módulo Taxonomy Access Fix 8.x-2.7 que la soluciona completamente.

Podemos encontrar toda la información sobre esta brecha de seguridad en el espacio web del equipo de seguridad de Drupal.

 

 

Fuente
Drupal Security Team

Etiquetas

Contenido relacionado

Drupal 10 está aquí. ¿Qué novedades nos trae?
Drupal 10, dos meses para su llegada
Drupal, alerta de seguridad [17/11/2021]
Drupal, actualización de seguridad [17/09/21]
Drupal, actualización crítica de seguridad [23/07/21]