El equipo de seguridad de Drupal ha emitido dos alertas de seguridad moderadamente críticas sobre el core de la herramienta de la versión 7 y 8 por dos vulnerabilidades que han sido detectadas recientemente.
- Drupal Core.- Moderadamente crítica.- Open Redirect.- SA-CORE-2020-003.
La vulnerabilidad detectada se centra en una insuficiente validación del parámetro destination de la query (búsqueda) que se desarrolla dentro de la función drupal_goto(), y que permitiría la inserción de un enlace que redirigiera a una URL externa arbitraria.
Sólo afecta a Drupal 7, para la cual se ha publicado la actualización de seguridad 7.70.
- Drupal Core.- Moderadamente crítica.- Cross-site Scripting.- SA-CORE.-2020-002.
Se han detectado dos vulnerabilidades en la biblioteca jQuery de JavaScript, incluida en el núcleo de la herramienta, concretamente en los métodos de manipulación del DOM .html() y .append() las cuales permitirían un posible ataque del tipo Cross-site Scripting.
La actualización que ha sido liberada para corregir esta vulnerabilidad permite solucionar los fallos detectaros sin necesidad de tener que actualizar la versión de jQuery incluida en el core. Dichas vulnerabilidad afectan tanto a las versiones Drupal 7 y Drupal 8, en la versiones 8.7.14 y 8.8.6. Versiones anteriores de Drupal no reciben actualizaciones de seguridad, por lo que en estos casos se recomienda actualizar a versiones más recientes de las mismas para las que sí exista actualización.
Recuerda que la mayor parte de los fallos de seguridad que se producen en un sitio web tienes como origen una falta de mantenimiento de los mismos. Estas dos vulnerabilidad han sido detectadas y se han publicado actualizaciones que las solucionan. Ahora está en nuestra mano como administradores de un/unos sitios web aplicar dichas actualizaciones. Es verdad que en Drupal la aplicación de dichas actualizaciones del core no es algo tan sencillo como en otras herramientas para la gestión de contenidos, aspecto que solucionará parcialmente Drupal 9, pero aún así debemos proteger nuestro sitio y a nuestro usuarios.
Podemos encontrar toda la información relativa a esta alerta de seguridad en el espacio web de Drupal Security Team.