Fecha de publicación: 21/04/2022
Importancia:
Media
Recursos afectados:
Drupal, versiones anteriores a la 9.3.12 y 9.2.18.
Las versiones de Drupal 8 y de Drupal 9, anteriores a la 9.2.x, se encuentran al final de su vida útil y ya no reciben cobertura de seguridad.
Descripción:
Se han publicado dos vulnerabilidades de severidad media, que podrían afectar al core de Drupal.
Solución:
Detalle:
- La API de formularios del núcleo de Drupal tiene una vulnerabilidad en la que ciertos formularios de módulos contribuidos o personalizados pueden ser vulnerables a una validación de entrada inadecuada. Esto podría permitir a un atacante inyectar valores no permitidos o sobrescribir datos. Los formularios afectados son poco comunes pero, en ciertos casos, un atacante podría alterar datos críticos o sensibles.
- Drupal 9.3 implementó una API de acceso a entidades genéricas para las revisiones de entidades que no se integró completamente con los permisos existentes, lo que podría permitir la derivación de acceso para los usuarios que pueden utilizar revisiones de contenido, pero que no tienen acceso a elementos individuales de contenido de nodos y medios. Esta vulnerabilidad sólo afecta a los sitios que utilizan el sistema de revisión de Drupal.
Etiquetas:
Actualización, CMS, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.