Drupal, alerta de seguridad [21/04/2022]

Enviado por Daniel Megido el Jue, 28/04/2022 - 09:44
Logo de Drupal 9 con el mar de fondo

El equipo de seguridad de Drupal acaba de emitir una alerta de seguridad sobre el core de la herramienta por la detección de dos amenazas de severidad media que afectan a la API de formularios y la API de entidades.

En concreto, las dos vulnerabilidades que han sido detectadas son:

  • Validación inapropiada de datos de entrada.- Moderadamente crítica.- SA-CORE-2022-008.- La vulnerabilidad ha sido detectada en la API de formularios del CORE de Drupal, en concreto en la creación de formularios personalizados en módulos contribuidos y de terceros, en los que no se produce una validación adecuada de los datos de entrada en los mismos, lo cual podría  tener como consecuencia que un posible atacante fuera capaz de inyectar caracteres o valores  no permitidos e incluso sobreescribir datos del sistema. En algunas ocasiones y bajo determinadas circunstancias, un posible ataque podría afectar a datos sensibles de la aplicación.
     

    Todas las versiones anteriores a Drupal 9.2 se encuentra fuera del ciclo de actualizaciones, por lo que sólo se han publicados nuevas versión para 9.2 y 9.3.
  • Escalado de privilegios.- Moderadamente crítica.- SA-CORE-2022-009.- La API de Entidades implementa un control del acceso para entidades. Sin embargo, esta API no está completamente integrada con  los permisos existentes, y como resultado en algunos escenarios algunos usuarios sin los permisos necesarios puedan acceder a la revisión de entidades de manera general. Sin embargo, esto no ocurre con items de entidades de tipo node y media content.
    Esta vulnerabilidad sólo afecta a aquellos sitios que tengan activada la función de revisión de contenidos.
    Sólo se ve afectada la versión de Drupal 9.3, para la cual se publicado la versión 9.3.12.
     

Dada ka gravedad de la vulnerabilidad, desde el equipo de seguridad de Drupal recomienda la inmediata actualización de la herramienta. Recuerda, la vulnerabilidad ha sido detectada en tiempo y forma, y sea ha publicado la actualización necesaria para su solución. Ahora sólo está en nuestra mano, como administradores de un sitio web, el aplicar dicha actualización. Sólo nos llevará unos minutos, no lo dejes para más tarde.

En GUIBIB somo especialistas en desarrollo de aplicaciones y sitios web con Drupal, así como en su mantenimiento. No dudes en ponerte en contacto con nosotros si necesitas crear o mantener tu sio web con Drupal.

 

Añadir nuevo comentario

Acerca de formatos de texto

HTML Restringido

  • Etiquetas HTML permitidas: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Saltos automáticos de líneas y de párrafos.
  • Las direcciones de correos electrónicos y páginas web se convierten en enlaces automáticamente.
CAPTCHA
Esta pregunta es para comprobar si usted es un visitante humano y prevenir envíos de spam automatizado.