Drupal: alertas de seguridad en varios módulos contribuidos [23-07-2020]

Enviado por Daniel Muñoz Egido el Jue, 23/07/2020 - 11:23
Icono utiilizado en los sitios web de Drupal

El equipo de seguridad de Drupal acaba de emitir una alerta de seguridad sobre tres módulos contribuidos de esta herramienta para la gestión de contenidos, uno de ellos de gravedad crítica.

Drupal, entre sus desarrolladores, cuenta con un equipo dedicado exclusivamente a verificar la seguridad tanto del núcleo de la herramienta como de los módulos contribuidos (con ciertas excepciones) que se desarrollan para ella. Una vez que se detecta una vulnerabilidad, si se trata de un módulo contribuido, se informa a los desarrolladores para que la corrijan en el menor espacio de tiempo y publiquen la actualización pertinente.

En este caso, se ha emitido una alerta de seguridad sobre tres módulos contribuidos, Modal Form, Apigee Edge y Easy Breadcrumb, siendo crítica la gravedad detectada en el primero de ellos, y moderadamente crítica para los otros dos:

  • Modal Form.- Gravedad crítica.- Access by pass.- SA-CONTRIB-2020-020. Con el módulo Modal Form podemos configurar que los formularios del sitio se desplieguen en una ventana modal.
    Se ha detectado que cualquier formulario puede ser visualizado y enviado por cualquier usuario con sólo saber el nombre completo de la clase que se le ha asignado. La nueva versión Modal Form 8.x-1.2 soluciona el problema detectado.
     

     

  • Apigee Edge.- Gravedad moderada.- Access by pass.- SA-CONTRIB.-2020-028. Apigee Edge permite conecta un sitio construido con Drupal con Apigee Edge para poder desarrollar así un portal para desarrolladores, conteniendo además un submódulo llamado "Apigee Edge Teams" que permite implementar una funcionalidad para organizar equipos de desarrolladores y proyectos.
    La vulnerabilidad detectada se ha detectado en este submódulo mencionado, el cual, a través del formulario para añadir un nuevo miembro a un equipo, el campo en el cual se debe introducir el email del nuevo miembro del equipo es expuesto a otras cuentas del sistema. Se ha publicado la actualización Apigee Edge 8.x-1.12 que soluciona dicho problema.
     

     

  • Easy Breadcrumb.- Gravedad moderada.- Cross-site scripting (XSS).- SA-CONTRIB.- 2020-027. El módulo Easy Breadcrumb nos permite generar las migas de pan de nuestro sitio a partir del path de la URL y el título de la  página actual de manera automática.
    Se ha detectado que el módulo no sanitiza correctamente los elementos de entrada del editor en determinadas circunstancias, lo que permitiría la realización de un ataque de tipo Cross-ssite scripting (XSS). La actualización Easy Breadcrumb 8.x-1.13 soluciona la vulnerabilidad mencionada.
     

     

Las vulnerabilidades han sido detectadas por el equipo de seguridad de Drupal y se han aplicado las medidas y actualizaciones necesarias para corregirlas, Ahora sólo está en nuestra mano ejecutarlas en nuestro sitio web para proteger nuestra información y a nuestros usuarios. No lo dejes, sólo te llevará un momento.

Podemos encontrar toda la información relativa a estas alertas de seguridad en el espacio web del Equipo de Seguridad de Drupal.

 

Etiquetas