Múltiples vulnerabilidades en módulos de Drupal
Jue, 06/03/2025 – 11:17
Recursos Afectados
Los siguientes módulos de Drupal están afectados por las vulnerabilidades reportadas:
- AI Automators, versiones anteriores a la 1.0.5.
- Two-factor Authentication (TFA), versiones anteriores a la 1.10.0.
Descripción
Varios investigadores han reportado 3 vulnerabilidades: una de severidad crítica y 2 de severidad alta, cuya explotación podría permitir a un atacante llevar a cabo una ejecución remota de código o eludir la autenticación de doble factor.
Identificador
INCIBE-2025-0124
5 – Crítica
Solución
Las vulnerabilidades han sido solucionadas por el equipo de Drupal, se recomienda actualizar a la última versión disponible de los módulos afectados.
Detalle
El módulo AI Automators permite crear diferentes tareas automatizadas que rellenan datos de campo utilizando salidas LLM. El módulo no sanea suficientemente la entrada, lo que podría permitir a un atacante ejecutar comandos arbitrarios.
Por el momento no se ha asignado un identificador CVE para esta vulnerabilidad de severidad crítica, ni para las de severidad alta.
Listado de referencias
AI (Artificial Intelligence) – Critical – Remote Code Execution – SA-CONTRIB-2025-021
AI (Artificial Intelligence) – Moderately critical – Gadget Chain – SA-CONTRIB-2025-022
Two-factor Authentication (TFA) – Moderately critical – Access bypass – SA-CONTRIB-2025-023
Etiquetas
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.