Múltiples vulnerabilidades en Drupal

El equipo de seguridad de Drupal ha solucionado varias vulnerabilidades en Drupal 6 y 7 que podrían ser aprovechadas por atacantes para provocar condiciones de cross-site scripting, cross-site request forgery, revelar información sensible o realizar ataques de inyección SQL.

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

El primero de los problemas reside en un cross-site scripting en la función Drupal.ajax() en Drupal 7, otra vulnerabilidad de cross-site scripting afecta a la funcionalidad de autocompletado en formularios en Drupal 6 y 7. También se ha corregido un cross-site request forgery en la API de formularios de Drupal 6 y 7, que podría permitir a un usuario subir archivos al sitio bajo la cuenta de otro usuario.

Una vulnerabilidad en Drupal 6 y 7 podría permitir a usuarios sin permisos de acceso a contenidos ver los títulos de los nodos a los que no tenga acceso, incluso podría acceder a ellos si se encuentras añadidos al menú del sitio. Por último, una inyección SQL en Drupal 7 en el sistema de filtrado de comentarios, podría permitir a usuarios inyectar código SQL malicioso en los comentarios,

Afectan a las versiones 6.x anteriores a 6.37 y 7.x anteriores a 7.39, se recomienda la actualización a las versiones Drupal core 6.37 o Drupal core 7.39.

Más información:

Drupal Core - Critical - Multiple Vulnerabilities - SA-CORE-2015-003

https://www.drupal.org/SA-CORE-2015-003

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero