Drupal, actualización de seguridad [17/09/21]

El equipo de seguridad de Drupal acaba de emitir varias alertas de seguridad en el core de la herramienta para sus versiones a partir de 8.9 y anteriores a la 9.1.x.

Se han publicado varias alertas de seguridad de severidad media que afectan a diversos elementos del core de esta herramienta para la gestión de contenidos, por lo que se recomienda su actualización inmediata. Las vulnerabilidades detectadas son:

• Cross-site request forgery (XSRF).- SA-CORE-2021-006.- Peligrosidad moderada.- Esta vulnerabilidad consistente en la ejecución de código malicioso a través de un usuario legítimo (de ahí el nombre de peticiones cruzadas). En este caso, la vulnerabilidad permitiría a un usuario sin los privilegios necesarios para  ello, inyectar código HTML en una página cuando ésta es accedida por un usuario que si cuenta con los permisos necesarios para embeber medios a través del Media Module del Core.
   

  Drupal Core 9.2, 9.1, and 8.9 and 2 associated contributed projects released security updates today. See https://t.co/eTcNkFlLCo for links to all advisories.
  Reminder: Drupal 8.x support ends November 2, 2021 (about 6 weeks from now). It's time to upgrade.

  — Drupal Security (@drupalsecurity) September 15, 2021

   
• Cross-site request forgery (XSRF).SA-CORE-2021-007.- Peligrosidad moderada.- El módulo QuickEdit, el cual nos permite editar el contenido desde nuestro sitio si salir de la capa de presentación y que forma parte del core de Drupal, no valida de manera adecuada el acceso a las rutas, lo cual, bajo determinadas circunstancias, podría propiciar una amenaza XSRF y permitir un problema de integridad de los datos.
• Soslayamiento  de privilegios (Access by pass).- SA-CORE-2021-008.- Peligrosidad moderada.- Los módulos JSON:API y REST/File, los cuales permiten subir archivos al repositorio a través de la API HTTP, no valida de manera adecuada dichos archivos, lo cual puede causar una amenaza de tipo Access by Pass. Un atacante podría ser capaz de subir archivos que sortearan el proceso de validación implementado por los módulos mencionados. El riesgo se ve mitigado por:
  • Los módulos JSON:API o REST File deben estar activados.
  • El posible atacante debe poseer permisos para subir archivos vía JSON:API o REST.
  • El sitio debe hacer uso del módulo de validación.
• Soslayamiento  de privilegios (Access by pass).- SA-CORE-2021-009.- Peligrosidad moderada.- El módulo QuickEdit no chequea apropiadamente el acceso a los campos en determinadas circunstancias, lo cual podría permitir una no intencionada exposición de los datos del campo. Sólo los sitios con el módulos QuickStart instalado (se hace por defecto en una instalación estándar), se ven afectados por esta vulnerabilidad.
• Soslayamiento  de privilegios (Access by pass).- SA-CORE-2021-010.- Peligrosidad moderada.- Bajo determinadas circunstancias, el módulo del core JSON:API no restringe apropiadamente el acceso a determinado contenido, lo cual podría tener como resultado un no intencionado soslayamiento de privilegios. Los sitios que no tienen activado el módulo no se ven afectados por esta vulnerabilidad.

Para solucionar estas vulnerabilidades se han publicado las siguientes actualizaciones:

• Si se está usando la versión 9.2, actualizar a Drupal 9.2.6.
• Si se está usando la versión 9.1, actualizar a Drupal 9.1.13.
• Si se está usando la versión 8.9, actualizar a Drupal 8.9.19.

Además de estas alertas emitidas sobre el core de la herramienta, se han emitido las siguientes sobre los siguientes módulos contribuidos:

• Entity Embed.- Cross-site Request Forgery (CSRF).-SA-CONTRIB-2021-028.- Peligrosidad moderada.- El modulo Entity Embed nos permite embeber cualquier entidad dentro de un área de texto mediante el edito WYSIWYG. En ciertas circunstancias, el módulos podría permitir a un usuario sin los permisos adecuados inyectar código HTML dentro de una página cuando dicha página es accedida por un usuario que sí tiene los permisos necesarios para embeber entidades denro de una página. En algunas circunstancias, esta vulnerabilidad también podría permitir un ataque del tipo Cross-site Scripting.
   

  Entity Embed - Moderately critical - Cross Site Request Forgery - SA-CONTRIB-2021-028 https://t.co/cpQ0gHyYGP

  — Drupal Security (@drupalsecurity) September 15, 2021

  
  Para solucionar este problema se ha publicado la actualización Entity Embed 8.x-1.2.
   
• GraphQL.- Soslayamiento de privilegios (Access by pass).- SA-CONTRIB-2021-029.- Peligrosidad moderada.- El módulo GraphQL nos permite crear metaetiquetas de este tipo para nuestro sitio Drupal. Dicho módulo nos permite subir archivos al repositorio a través de HTTP API . Éste no valida correctamente la subida de estos archivos lo cual podría causar un soslayamiento de los privilegios de acceso y un posible atacante podría ser capaz de subir archivos sorteando la validación del mismo.
   

  GraphQL - Moderately critical - Access bypass - SA-CONTRIB-2021-029 https://t.co/BmQEBtlWqz

  — Drupal Security (@drupalsecurity) September 15, 2021

  
  Para dar solución a este problema se ha publicado la actualización GraphQL 8.x-4.2.

Recuerda, la amenaza ha sido identificada y ha sido corregida en tiempo y forma. Ahora sólo depende de nosotros, como administradores del sitio, el aplicar dichas medidas para proteger nuestro datos y a nuestros usuarios. No lo dejes para más tarde, sólo te llevará unos minutos. La mayor parte de las brechas de seguridad se producen por una falta de mantenimiento.

Podemos encontrar toda la información sobre esta alerta de seguridad en el sitio del Security Team  de Drupal.