Múltiples vulnerabilidades en el core de Drupal
Fecha de publicación 16/09/2021
Importancia
3 - Media
Recursos Afectados
Drupal, versión 9.2, 9.1 y 8.9.
Las versiones de Drupal 8 anteriores a la 8.9.x y de Drupal 9 anteriores a la 9.1.x, se encuentran al final de su vida útil y ya no reciben cobertura de seguridad.
Descripción
Se han publicado cinco vulnerabilidades de severidad media que podrían afectar al core de Drupal.
Solución
Detalle
- En determinadas circunstancias, el filtro del módulo Drupal core Media podría permitir a un atacante sin privilegios inyectar HTML en una página cuando un usuario, con permisos para insertar contenidos multimedia, accede a ella. Se ha asignado el identificador CVE-2020-13673 para esta vulnerabilidad.
- El módulo QuickEdit no valida correctamente el acceso a rutas, lo que podría permitir explotar una vulnerabilidad cross-site request forgery (SCRF) y así, comprometer la integridad de la información. Se ha asignado el identificador CVE-2020-13674 para esta vulnerabilidad.
- Una validación incorrecta en la subida de archivos a través de las APIs HTTP de los módulos JSON:API y REST/File, podría permitir a un atacante subir archivos evadiendo el proceso de validación. Se ha asignado el identificador CVE-2020-13675 para esta vulnerabilidad.
- El módulo QuickEdit no comprueba correctamente el acceso a campos en algunas circunstancias, lo que podría permitir la revelación de información. Se ha asignado el identificador CVE-2020-13676.
- El módulo JSON:API no restringe el acceso a ciertos contenidos correctamente en determinadas circunstancias. Se ha asignado el identificador CVE-2020-13677 para esta vulnerabilidad.
Listado de referencias
Etiquetas