El
equipo de seguridad de Drupal ha publicado un boletín de seguridad calificado
como crítico, en el que se solucionan tres vulnerabilidades.
Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.
Detalle de las vulnerabilidades corregidas
- El primer problema considerado critico reside en un cross-site scripting debido a que Drupal no filtraba adecuadamente las excepciones. También de gravedad crítica, una vulnerabilidad debido a que la ruta system.temporary podría permitir a un atacante sin permisos de administrador la descarga de la configuración completa.
- Un último problema, de menor gravedad que los anteriores, podría permitir a usuarios sin permisos para la administración de comentarios configurar la visibilidad de comentarios en los nodos que puedan editar.
- Se ven afectadas las versiones 8.x anteriores a 8.1.10.
- Se recomienda la actualización a la versión Drupal 8.1.10. https://www.drupal.org/project/drupal/releases/8.1.10
- Drupal Core - Critical - Multiple Vulnerabilities - SA-CORE-2016-004 https://www.drupal.org/SA-CORE-2016-004