El equipo de seguridad de Drupal ha solucionado una
vulnerabilidad en Drupal 7 que podría permitir una redirección HTTP no deseada.
Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.
Detalle e impacto de la vulnerabilidad
- El problema solucionado (con CVE-2015-7943) reside en el módulo Overlay usado para mostrar páginas del panel de administración como una capa sobre la página activa (empleando JavaScript), en vez de reemplazar la página en el navegador. Este módulo no valida adecuadamente las URL antes de mostrar el contenido, lo que puede dar lugar a una redirección abierta.
- Afectan a las versiones 7.x anteriores a 7.41
- Actualizar a las versiones Drupal core 7.41. https://www.drupal.org/drupal-7.41-release-notes
- Drupal Core
- Overlay - Less Critical - Open Redirect - SA-CORE-2015-004 https://www.drupal.org/SA-CORE-2015-004
- drupal 7.41 https://www.drupal.org/drupal-7.41-release-notes