El equipo de seguridad de Drupal acaba de emitir una alerta moderadamente crítica de seguridad sobre el módulo contribuido Profile.
El módulo contribuido Profile permite la configuración de perfiles de usuario a través de una interfaz de usuario que puede ser mostrada en el formulario de registro, a los que se les pueden asignar una serie determinada de permisos.
Se ha detectado que el módulo no realiza un control suficiente de los permisos de accesos cuando se crea un nuevo perfil de usuario, con lo que un usuario con el permiso "Crear perfiles" podría crear perfiles para cualquier usuario sin restricción alguna.
Para solucionar esta vulnerabilidad se ha publicado la actualización Profile 8.x-1.1 que la soluciona. Recuerda que la mayor parte de las brechas de seguridad que se producen en un sitio web derivan de una falta de mantenimiento del mismo, y muy concretamente, de la falta de actualización de algunos de sus componentes. La actualización del módulo se puede realizar a través de la interfaz gráfica de administración de Drupal y no te llevará más de un minuto.
Podemos encontrar toda la información sobre esta alerta en el espacio web del Drupal Security Team.
Profile - Moderately critical - Access Bypass - SA-CONTRIB-2020-004 https://t.co/Y6LyyLc5rO
— Drupal Security (@drupalsecurity) February 19, 2020