Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en los módulos JSON:API y REST/File de Drupal (CVE-2020-13675)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-284 Control de acceso incorrecto
Fecha de publicación:
11/02/2022
Última modificación:
17/06/2026

Descripción

Los módulos JSON:API y REST/File de Drupal permiten la carga de archivos mediante sus APIs HTTP. Los módulos no ejecutan correctamente toda la comprobación de los archivos, lo que causa una vulnerabilidad de omisión de acceso. Un atacante podría ser capaz de subir archivos que salten el proceso de comprobación de archivos implementado por los módulos del sitio

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:* 8.0.0 (incluyendo) 8.9.19 (excluyendo)
cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:* 9.1.0 (incluyendo) 9.1.13 (excluyendo)
cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:* 9.2.0 (incluyendo) 9.2.6 (excluyendo)