Drupal, diversas alertas de seguridad en el módulo contribuido 'Webform' [06/05/2020]

El equipo de seguridad de Drupal acaba de emitir varias alertas de seguridad sobre el módulo contribuido Webform, algunas de ellas de carácter crítico, por lo cual debemos realizar la actualización del mismo de forma inmediata.

Webform nos permite configurar y construir formularios y encuestas para nuestros sitio construidos con Drupal, todo ello con una considerable cantidad de opciones de personalización y configuración y de una manera flexible y fácil.

Se han detectado diversas vulnerabilidad en Webform, algunas de ellas de carácter crítico, por lo que desde el equipo de seguridad de Drupal nos recomiendan realizar la actualización inmediata del mismo dada la gravedad de algunos de los problemas detectados:

• Webform.- SA-CONTRIB-2020-011 Alerta Crítica.- Ejecución de código remoto. Cuando se está editando el formulario, el módulo no filtra suficientemente las propiedades (atributos) de los elementos, lo cual podría permitir a un usuario malicioso crear un atributo cualquiera que invocara la ejecución de un determinado código PHP.
• Webform.- SA-CONTRIB-2020-012.- Alerta moderada.- Acceso no autorizado. El módulo no valida suficientemente los datos en el elemento de firma del formulario durante su envío, lo que permitiría a un usuario malicioso generar y extraer HMAC hashes para datos aleatorios.
  Los HMAC hashes son usados en numerosos puntos dentro del core de Drupal 8 y en módulos contribuidos, por lo que éstos podrían ser usados para visualizar contenido para los que no se dispone de permisos o logearse como un usuario determinado en determinadas circunstancias.
  La peligrosidad de esta vulnerabilidad se ve mitigada por el hecho de que el posible atacante debe disponer de los permisos necesarios para crear formularios.
• Webform.- SA-CONTRIB-2020-013.- Alerta moderada.- Cross-site Scripting (XSS). El módulo no previene lo suficientemente la posibilidad de crear código malicioso al renderizar elementos de opciones, como son los menús de selección, checkboxes, radio buttons, etc., cuando el administrador del sitio permite la visualización de los datos de selección sin procesar.
  La vulnerabilidad se ve mitigada por el hecho que el posible atacante debe debe tener permisos para la creación de formularios y seleccionar la opción para mostrar los datos de opciones sin procesar.
• Webform.- SA-CONTRIB-2020-014.- Alerta moderada.- Cross-site scripting (XSS). El módulo no filtra suficientemente los datos introducidos por el usuario en el supuesto de que el formulario esté siendo editado. La brecha se produce en el contador de caracteres del mensaje que permitiría la ejecución de código JavaScript a través del mensaje introducido.
• Webform.- SA-CONTRIB-2020-015.-Alerta moderada.- Cross-site scripting (XSS). El módulo no sanitiza (protege ocultando su valor) las etiquetas ni las condiciones de visibilidad cuando el formulario es ubicado dentro de un bloque. Cunado dicho bloque es ubicado en una sección de la página y éste se encuentra visible, cualquier código JavaScript podría ser ejecutado a través de dicho bloque.
  Su peligrosidad se ve mitigada por el hecho de que el atacante debe poseer un rol con los permisos necesarios para "Editar formularios propios" (o "Editar cualquier formulario").
• Webform.- SA-CONTRIB-2020-016.- Alerta crítica.- Acceso no autorizado. El módulo no verifica suficientemente el término 'vista' de los permisos de usuario del módulo, lo cual permitiría que al renderizar 'Seleccionar término' y 'Checkboxes de términos',  elementos que no han sido publicados se visualizarían dentro de las opciones de elección disponibles en el mismo.
• Webform.- SA-CONTRIB-2020-017.- Alerta moderada.- Acceso no autorizado. El sub-módulo Webform Node no chequea los permisos de la misma forma que lo hacen otros nodos y entidades, por lo que, cuando se desarrolla un módulo o funcionalidad personalizada podemos encontrarnos un resultado no esperado en cuanto a la concesión de permisos del mismo.
  Su peligrosidad sólo reside en aquellos sitios que hayan implementado código personalizado que emplee este sub-módulo.

Para solucionar todas estas vulnerabilidades se ha publicado la actualización Webform 8.x-5.11. Una vez que el problema ha sido identificado y se han corregido a través de una nueva versión, está en nuestra mano como administradores de nuestro sitios, aplicar dicha actualización que corrige completamente el problema. En el caso de Webform no podemos realizar esta actualización de manera automática y deberemos realizar completamente de manera manual. Aún así este proceso no nos llevará más que unos minutos.

Recuerda, la mayor parte de los problemas de seguridad que se produce en un sitio web tiene que ver con una falta de mantenimiento de los mismos. No lo dejes para mañana y actualiza ya.

Podemos encontrar toda la información relativa a estas alertas de seguridad en el espacio web de Drupal Security Team.