El
equipo de seguridad de Drupal ha publicado un boletín de seguridad calificado
como crítico, en el que se solucionan tres vulnerabilidades.
Drupal es un CMF (Content
Management Framework) modular multipropósito y muy configurable, desarrollado
bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y
otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones,
blogs y administración de usuarios y permisos.
El primer problema considerado critico
reside en un cross-site scripting debido a que Drupal no filtraba adecuadamente
las excepciones. También de gravedad crítica, una vulnerabilidad debido a que la
ruta system.temporary podría permitir a un atacante sin permisos de
administrador la descarga de la configuración completa.
Un último problema, de menor
gravedad que los anteriores, podría permitir a usuarios sin permisos para la
administración de comentarios configurar la visibilidad de comentarios en los
nodos que puedan editar.
Se ven afectadas las versiones
8.x anteriores a 8.1.10. Se recomienda la actualización a la versión Drupal
8.1.10.
Más información:
Drupal Core - Critical - Multiple Vulnerabilities -
SA-CORE-2016-004
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario