El equipo de seguridad de Drupal acaba de emitir una alerta se seguridad de carácter moderado como consecuencia de tres vulnerabilidades detectadas en el core de la herramienta, las cuales ya han sido solucionadas, y que permitirían la divulgación de información sensible.
Las tres vulnerabilidades son de carácter moderado y han sido reportadas por varios investigadores:
- Divulgación de información.- SA-CORE-2023-002.- Moderadamente crítica.
El módulo MEDIA del core no chequea de una manera correcta el acceso al mismo en algunas circunstancias, lo cual puede resultar en que algunos usuarios puedan ver las miniaturas de imágenes para las cuales no tienen acceso, incluyendo las que se encuentran en el la carpeta de archivos privados. - Divulgación de información.- SA-CORE-2023-003.- Moderadamente crítica.
El módulo de internacionalización del core nos ofrece la posibilidad de situar un bloque con el que poder seleccionar rápidamente el lenguaje de nuestro sitio. La URL de traducciones no publicadas pueden ser relevadas, y cuando éste es usado en conjunción al módulo Pathauto puede revelar los títulos de contenidos no publicados. - Derivación de acceso.- SA-CORE-2023-004.- Moderadamente crítica.
El core de Drupal nos ofrece una funcionalidad que nos muestra la información de phpinfo() para poder realizar un diagnóstico de nuestra configuración de PHP. Si un atacante es capaz de efectuar un ataque de tipo Cross-site scripting (XSS) contra un usuario con determinados privilegios, éste puede ser capaz de acceder a la información contenida en phpinfo() la cual podría ser usada para escalar un posible ataque contra nuestro sitio.
La vulnerabilidad se ve mitigada por el hecho de que previamente se debe producir un ataque XSS para poder explotar esta vulnerabilidad.
Junto a estas tres vulnerabilidades acontecidas en el core de esta herramienta CMS, se ha publicado una vulnerabilidad también de tipo moderado sobre el módulo contribuido Media Responsive Thumbnail (SA-CONTRIB-2023-010) por no chequear de manera adecuada los permisos de acceso previamente al renderizado de la imagen, lo cual puede tener como consecuencia que los usuarios terminen viendo miniaturas de imágenes para las cuales no tienen acceso. Para solucionar esta vulnerabilidad se ha publicado una actualización del módulo.
Para las vulnerabilidades del core se han publicado las siguientes actualizaciones:
- Si estamos usando 10.0, se ha publicado Drupal 10.05.
- Si estamos usando 9.5, se ha publicado Drupal 9.5.5.
- Si estamos usando 9.4, se ha publicado Drupal 9.4.12.
- Si estamos usando 7, se ha publicado Drupal 7.95.
Todas las versiones anteriores a Drupa 9.4, incluida la versión 8, se encuentra fuera de su ciclo de vida y por lo tanto no reciben actualizaciones de seguridad.
Las vulnerabilidades han sido detectadas en tiempo y forma y se han publicado las actualizaciones necesarias para corregirlas. Ahora sólo está en nuestra mano el aplicarlas para proteger nuestro sitio y a nuestro usuarios. La mayorías de brechas de seguridad se produce como consecuencia de una falta de mantenimiento de la aplicación o herramienta. No lo dejes para más tarde y actualiza.
En GUIBIB somos especialistas en el desarrollo y mantenimiento de Drupal. No dudes en ponerte en contacto con nosotros para que podamos ofrecerte una solución completamente personalizada.
Añadir nuevo comentario