El
equipo de seguridad de Drupal ha solucionado varias vulnerabilidades en Drupal
Core 6 y 7 que podrían ser aprovechadas por atacantes para saltar
restricciones de seguridad, revelar información sensible e incluso suplantar la
identidad de cuentas de usuario.
Drupal es un CMF (Content
Management Framework) modular multipropósito y muy configurable, desarrollado
bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y
otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones,
blogs y administración de usuarios y permisos.
Aunque ninguna de estas
vulnerabilidades tiene aún CVE asignado, podemos clasificarlas según su nivel
de criticidad:
- Nivel alto
Un error en el módulo 'OpenID' podría ser aprovechado por un
atacante remoto para causar una suplantación de identidad de otras cuentas de usuario.
- Nivel moderado
Un error en el módulo 'Taxonomy' podría mostrar contenido aún
sin publicar a usuarios no autorizados. Lo cual podría ser aprovechado por un
atacante remoto para revelar información sensible.
- Nivel bajo
Un error en la función 'drupal_form_submit()' de la API para formularios,
permitiría el envío programado de formularios sin verificar sus elementos. Un
atacante remoto podría aprovechar este error para saltar restricciones de
seguridad con la ayuda de formularios
especialmente manipulados.
Afecta a las versiones 6.x
anteriores a 6.30 y 7.x anteriores a 7.26, se recomienda su inmediata
actualización.
Más información:
SA-CORE-2014-001 - Drupal core -
Multiple vulnerabilities
Juan Sánchez
No hay comentarios:
Publicar un comentario