domingo, 19 de junio de 2016

Dos vulnerabilidades en Drupal

El equipo de seguridad de Drupal ha publicado un boletín de seguridad calificado como moderadamente crítico, en el que se solucionan dos vulnerabilidades. 

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

En primer lugar se ha solucionado una vulnerabilidad en el módulo de usuarios de Drupal 7 debido a que al guardar bajo determinadas condiciones se pueden asignar a un usuario todos los roles del sitio. Lo que podría permitir a un usuario conseguir permisos administrativos.

Por otra parte, un segundo problema en el modulo de Vistas de Drupal 7 y 8 que podría permitir a usuarios sin autorización visualizar información del módulo de estadísticas.

En Drupal 7 no afecta al Core, pero si se usa el modulo Vistas de Drupal 7.x, se debe actualizar este módulo a la versión Views 7.x-3.14.

Se ven afectadas las versiones 7.x anteriores a 7.44 y versiones 8.x anteriores a 8.1.3. Se recomienda la actualización a las versiones Drupal 7.44 y Drupal 8.1.3.

Más información:

Drupal Core - Moderately Critical - Multiple Vulnerabilities - SA-CORE-2016-002

Views - Less Critical - Access Bypass - SA-CONTRIB-2016-036

views 7.x-3.14

Antonio Ropero
Twitter: @aropero



No hay comentarios:

Publicar un comentario en la entrada