Múltiples vulnerabilidades en el core de Drupal

Fecha de publicación 16/09/2021

Importancia

3 - Media

Recursos Afectados

Drupal, versión 9.2, 9.1 y 8.9.

Las versiones de Drupal 8 anteriores a la 8.9.x y de Drupal 9 anteriores a la 9.1.x, se encuentran al final de su vida útil y ya no reciben cobertura de seguridad.

Descripción

Se han publicado cinco vulnerabilidades de severidad media que podrían afectar al core de Drupal.

Solución

Actualizar:

Drupal 9.2, a la versión 9.2.6;
Drupal 9.1, a la versión 9.1.13;
Drupal 8.9, a la versión 8.9.19.

Detalle

En determinadas circunstancias, el filtro del módulo Drupal core Media podría permitir a un atacante sin privilegios inyectar HTML en una página cuando un usuario, con permisos para insertar contenidos multimedia, accede a ella. Se ha asignado el identificador CVE-2020-13673 para esta vulnerabilidad.
El módulo QuickEdit no valida correctamente el acceso a rutas, lo que podría permitir explotar una vulnerabilidad cross-site request forgery (SCRF) y así, comprometer la integridad de la información. Se ha asignado el identificador CVE-2020-13674 para esta vulnerabilidad.
Una validación incorrecta en la subida de archivos a través de las APIs HTTP de los módulos JSON:API y REST/File, podría permitir a un atacante subir archivos evadiendo el proceso de validación. Se ha asignado el identificador CVE-2020-13675 para esta vulnerabilidad.
El módulo QuickEdit no comprueba correctamente el acceso a campos en algunas circunstancias, lo que podría permitir la revelación de información. Se ha asignado el identificador CVE-2020-13676.
El módulo JSON:API no restringe el acceso a ciertos contenidos correctamente en determinadas circunstancias. Se ha asignado el identificador CVE-2020-13677 para esta vulnerabilidad.