El equipo de seguridad de Drupal ha solucionado varias vulnerabilidades en Drupal 6 y 7 que podrían ser aprovechadas por atacantes para provocar condiciones de cross-site scripting, cross-site request forgery, revelar información sensible o realizar ataques de inyección SQL.
Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.
El primero de los problemas reside en un cross-site scripting en la función Drupal.ajax() en Drupal 7, otra vulnerabilidad de cross-site scripting afecta a la funcionalidad de autocompletado en formularios en Drupal 6 y 7. También se ha corregido un cross-site request forgery en la API de formularios de Drupal 6 y 7, que podría permitir a un usuario subir archivos al sitio bajo la cuenta de otro usuario.
Una vulnerabilidad en Drupal 6 y 7 podría permitir a usuarios sin permisos de acceso a contenidos ver los títulos de los nodos a los que no tenga acceso, incluso podría acceder a ellos si se encuentras añadidos al menú del sitio. Por último, una inyección SQL en Drupal 7 en el sistema de filtrado de comentarios, podría permitir a usuarios inyectar código SQL malicioso en los comentarios,
Afectan a las versiones 6.x anteriores a 6.37 y 7.x anteriores a 7.39, se recomienda la actualización a las versiones Drupal core 6.37 o Drupal core 7.39.
Más información:
Drupal Core – Critical – Multiple Vulnerabilities – SA-CORE-2015-003
Antonio Ropero
Twitter: @aropero
Deja un comentario