El equipo de seguridad de Drupal acaba de emitir una alerta crítica de seguridad sobre el core de la herramienta como consecuencia de la vulnerabilidad detectada en la librería Archive_Tar.
La librería de terceros Archive_Tar es empleada por el core de Drupal para procesar archivos con la extensión .tar, .tar.gz, .bz2 o .tlz, como son por ejemplo, muchos de los temas y módulos que subimos a nuestra herramienta.
La vulnerabilidad se ha detectado en el archivo Tar.php de esta librería, a través del cual se podrían realizar operaciones de escritura en otros directorios como consecuencia de una inadecuada comprobación de los enlaces simbólicos.
Para solucionar esta importante vulnerabilidad, se han publicado las actualizaciones Drupal 9.1.3, Drupal 9.0.11, Drupal 8.9.13 y Drupal 7.78. Podemos encontrar toda la información relativa a esta alerta de seguridad en el espacio web del Drupal Security Team.
Drupal core - Critical - Third-party libraries - SA-CORE-2021-001
— Drupal Security (@drupalsecurity) January 21, 2021
- https://t.co/0PQSxhpTak has been released
(sorry for the late tweet)