El Departamento de seguridad de Drupal a publicado una vulnerabilidad que permite la inserción de campos ocultos en los comentarios. Dicho fallo ha sido catalogado con nivel bajo de importancia.
Drupal es un Gestor de Contenidos ( CMS ) modular y multipropósito, mediante un sistema dinámico que en lugar de almacenar sus contenidos en archivos estáticos en el sistema de ficheros del servidor de forma fija, el contenido textual de las páginas y otras configuraciones son almacenados en una base de datos y se editan utilizando un entorno Web.
Recursos afectados
- Drupal versiones 6.x y 7.x
Impacto en el sistema
- Un usuario malintencionado puede insertar enlaces ocultos en la pagina web a través de un comentario mediante la utilización de selectores CSS incluidos por defecto en el core de Drupal.
Recomendación
- Para evitar esto se pueden sanear el envío de comentarios mediante el atributo rel="nofollow".
- Este atributo se activa en Drupal 7 en la ruta por defecto admin/config/content/formats/filtered_html
- Y en Drupal 6 en la ruta por defecto admin/settings/filters/1/configure
Más información
Servicio de seguridad de Drupal
Fuente: Inteco
