Múltiples vulnerabilidades en el core de Drupal 9

Fecha de publicación 21/04/2022
Importancia
3 - Media
Recursos Afectados

Drupal, versiones anteriores a la 9.3.12 y 9.2.18.

Las versiones de Drupal 8 y de Drupal 9, anteriores a la 9.2.x, se encuentran al final de su vida útil y ya no reciben cobertura de seguridad.

Descripción

Se han publicado dos vulnerabilidades de severidad media, que podrían afectar al core de Drupal.

Solución

Actualizar:

  • Drupal 9.3 a la versión 9.3.12;
  • Drupal 9.2 a la versión 9.2.18.
Detalle
  • La API de formularios del núcleo de Drupal tiene una vulnerabilidad en la que ciertos formularios de módulos contribuidos o personalizados pueden ser vulnerables a una validación de entrada inadecuada. Esto podría permitir a un atacante inyectar valores no permitidos o sobrescribir datos. Los formularios afectados son poco comunes pero, en ciertos casos, un atacante podría alterar datos críticos o sensibles.
  • Drupal 9.3 implementó una API de acceso a entidades genéricas para las revisiones de entidades que no se integró completamente con los permisos existentes, lo que podría permitir la derivación de acceso para los usuarios que pueden utilizar revisiones de contenido, pero que no tienen acceso a elementos individuales de contenido de nodos y medios. Esta vulnerabilidad sólo afecta a los sitios que utilizan el sistema de revisión de Drupal.

Encuesta valoración

Listado de referencias
Drupal core - Moderately critical - Improper input validation - SA-CORE-2022-008
Drupal core - Moderately critical - Access bypass - SA-CORE-2022-009
Etiquetas