El equipo de seguridad de Drupal ha solucionado, en las
ramas Drupal Core 6 y 7, varias vulnerabilidades clasificadas como críticas o
moderadamente críticas; que podrían permitir a un atacante causar denegación de servicio, salto
de restricciones y XSS.
Drupal es un CMF
(Content Management Framework) modular multipropósito y muy configurable,
desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos,
imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas,
votaciones, blogs y administración de usuarios y permisos.
Recursos afectados
- Ramas de Drupal Core 6
- Ramas de Drupal Core 7
- Denegación de servicio en el sistema base.- La característica multisitio determina dinámicamente que fichero de configuración usar basándose en la cabecera HTTP Host. Debido a un fallo de validación de dicha cabecera se podría causar una denegación de servicio. También afecta a los sitios web que no tengan activa esa característica.
- Salto de restricciones de seguridad en el módulo File.- Existe un error en el módulo File al no comprobar los permisos cuando se adjunta un fichero previamente subido, pudiendo así obtener acceso a ficheros no permitidos. Afecta solo a Drupal 7.
- Cross-site scripting en la API de formularios.- Vulnerabilidad de tipo XSS en la API de formularios al no verificar correctamente elementos de tipo 'select'.
- Cross-site scripting en el sistema ajax.- Vulnerabilidad de tipo XSS no persistente en formularios que contengan un campo de tipo 'file' y un campo de tipo texto con ajax habilitado. Afecta solo a Drupal 7.
Recomendación
- Se recomienda actualizar a las versiones Drupal core 6.32 ó Drupal core 7.29.
- SA-CORE-2014-003 - Drupal core - Multiple vulnerabilities https://www.drupal.org/SA-CORE-2014-003