domingo, 19 de junio de 2016

Dos vulnerabilidades en Drupal

El equipo de seguridad de Drupal ha publicado un boletín de seguridad calificado como moderadamente crítico, en el que se solucionan dos vulnerabilidades. 

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

En primer lugar se ha solucionado una vulnerabilidad en el módulo de usuarios de Drupal 7 debido a que al guardar bajo determinadas condiciones se pueden asignar a un usuario todos los roles del sitio. Lo que podría permitir a un usuario conseguir permisos administrativos.

Por otra parte, un segundo problema en el modulo de Vistas de Drupal 7 y 8 que podría permitir a usuarios sin autorización visualizar información del módulo de estadísticas.

En Drupal 7 no afecta al Core, pero si se usa el modulo Vistas de Drupal 7.x, se debe actualizar este módulo a la versión Views 7.x-3.14.

Se ven afectadas las versiones 7.x anteriores a 7.44 y versiones 8.x anteriores a 8.1.3. Se recomienda la actualización a las versiones Drupal 7.44 y Drupal 8.1.3.
https://www.drupal.org/project/drupal/releases/7.44
https://www.drupal.org/project/drupal/releases/8.1.3

Más información:

Drupal Core - Moderately Critical - Multiple Vulnerabilities - SA-CORE-2016-002
https://www.drupal.org/SA-CORE-2016-002

Views - Less Critical - Access Bypass - SA-CONTRIB-2016-036
https://www.drupal.org/node/2749333

views 7.x-3.14
https://www.drupal.org/node/2749373

Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

Etiquetas: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017