Descubiertas múltiples vulnerabilidades en el núcleo del gestor de contenidos Drupal. A dichas vulnerabiluidades se le han asignado un nivel de importancia crítico.
Recursos afectados
- Versiones del núcleo de Drupal 6.x anteriores a 6.29.
- Versiones del núcleo de Drupal 7.x anteriores a 7.24.
- Advertencia.- La prevención de ejecución de datos en instalaciones Apache podría requerir la configuración del servidor, tal y como se indica aquí (requiere cambios en los archivos .htaccess).
Detalle e impacto potencial de las vulnerabilidades
- Múltiples vulnerabilidades de CSRF (Validación formulario - Drupal 6 y 7)
- Múltiples vulnerabilidades debido a debilidades en la generación de números pseudoaleatorios usando mt_rand() (Formulario API, OpenID y generación aleatoria de contraseña - Drupal 6 y 7)
- Prevención ejecución código (Directorio de archivos .htaccess para Apache - Drupal 6 y 7)
- Evasión de acceso (Validación de token de seguridad - Drupal 6 y 7)
- Cross-Site Scripting (Módulo Image - Drupal 7)
- Cross-Site Scripting (Módulo Color - Drupal 7)
- Redirección abierta (Módulo Overlay - Drupal 7)
Recomendación
Actualizar Drupal a las versiones 6.29 y 7.24.Más información
Security Advisory https://drupal.org/SA-CORE-2013-003Fuente: Inteco
