Drupal revisa vulnerabilidades de CMS

Los bugs incluyen un manejo de código incorrecto y fallas en la seguridad de acceso. Drupal ha parchado múltiples vulnerabilidades en la plataforma CMS, algunas de las cuales se consideran críticas.

Esta semana, el proveedor del sistema de gestión de contenido de código abierto (CMS) emitió un aviso de seguridad que detalla una serie de bugs que ahora se han resuelto. Los investigadores en seguridad de datos comentan que, las vulnerabilidades afectan a la versión 7 de la plataforma, junto con Drupal 8 hasta la versión 8.4.

drupal

La primera vulnerabilidad, afecta a Drupal 8, permite a los usuarios con permiso para publicar comentarios ver contenido y comentarios a los que no deberían tener acceso, y agregar comentarios a este contenido.

La segunda vulnerabilidad, afecta a ambas versiones, implica una función de JavaScript incompleta que no maneja correctamente la inyección de código y código HTML malicioso. Especialistas en seguridad de datos dicen que, si se explota, esto podría provocar errores de secuencias de comandos entre sitios en determinadas circunstancias.

Otras dos vulnerabilidades,  en la versión 7 de Drupal, se han resuelto en esta actualización de seguridad. La primera es un problema de omisión de acceso cuando los usuarios solicitan acceso a los archivos bajo ciertas condiciones, y la segunda es una vulnerabilidad de guiones entre sitios jQuery que ocurre cuando las solicitudes de Ajax se realizan a dominios que no son de confianza.

Otro problema, dicen los expertos en seguridad cibernética, resuelto en esta actualización, se produce cuando los controles de acceso a nodos interactúan con un sitio web multilingüe. Las versiones no traducidas del nodo se marcan como la alternativa predeterminada, pero cuando esto se usa para idiomas sin una versión traducida del nodo, esto puede ocasionar problemas de acceso.

En la versión 8 de Drupal en el módulo Bandeja de configuración. La falla de seguridad de datos permite a los usuarios actualizar datos selectos para los cuales no tienen los permisos correctos. Sin embargo, este problema se puede mitigar deshabilitando el módulo.

El último, considerado de menor riesgo que cualquiera de los otros problemas parchados en esta actualización, permite a los atacantes engañar a los visitantes de un dominio de Drupal 7 para que visiten un sitio externo.

Para resolver estos problemas, Drupal solicita que los usuarios actualicen de inmediato. La versión 7 debe actualizarse a Drupal 7.57, y la versión 8 debe actualizarse a Drupal 8.4.5.

En agosto, Drupal arreglo una serie de vulnerabilidades críticas que afectaron el motor central de la plataforma. La falla de seguridad cibernética  más grave era un problema de desvío de acceso que permitía a los atacantes ver, crear, actualizar o eliminar entidades en el sistema de acceso de Drupal.

Tags:,