El equipo de seguridad de Drupal ha publicado un boletín
de seguridad calificado como moderadamente crítico, en el que se solucionan
cuatro vulnerabilidades.
Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.
Detalle de la actualización
- El primer problema considerado critico reside en un cross-site scripting debido a que Drupal no filtraba adecuadamente las excepciones. También de gravedad crítica, una vulnerabilidad debido a que la ruta system.temporary podría permitir a un atacante sin permisos de administrador la descarga de la configuración completa.
- Un último problema, de menor gravedad que los anteriores, podría permitir a usuarios sin permisos para la administración de comentarios configurar la visibilidad de comentarios en los nodos que puedan editar.
- El primer problema considerado de menor gravedad, reside en un fallo de inconsistencia de nombres en consultas con etiquetas term_access que podría permitir revelar información sobre términos de taxonomía a usuarios sin privilegios. Afecta a Drupal 7 y Drupal 8. También de menor criticidad el formulario de reinicio de contraseña de usuario no especifica el contexto de caché de forma adecuada, lo que puede permitir el envenenamiento de caché y ofrecer contenido no deseado en la página. Solo afecta a Drupal 8.
- Por otra parte, una vulnerabilidad moderadamente crítica podría permitir a usuarios maliciosos construir una URL a un formulario de confirmación que tras interactuar con el formulario redireccione al usuario a un sitio web de un tercero. Esto podría emplearse para ataques de ingeniería social. Solo afecta a Drupal 7.
- Por último, de gravedad moderadamente crítica, una URL especialmente diseñada puede causar una denegación de servicio a través del mecanismo de transliteración. Solo afecta a Drupal 8.
Recomendación
Se recomienda la actualización a las versiones de Drupal
7.52 o 8.2.3.
- https://www.drupal.org/project/drupal/releases/7.52
- https://www.drupal.org/project/drupal/releases/8.2.3
- Drupal Core - Moderately Critical - Multiple Vulnerabilities - SA-CORE-2016-005 https://www.drupal.org/SA-CORE-2016-005
