Se han detectado y corregido múltiples vulnerabilidades, dos de ellas críticas, en el núcleo de Drupal, catalogada de Importancia: 5 – Crítica

Recursos afectados:

  • Versiones de Drupal: 8.x.

Detalle e Impacto de las vulnerabilidades

Las vulnerabilidades detectadas son las siguientes:

  1. Cross-Site Scripting (crítica): un atacante podría crear una URL especialmente diseñada para ejecutar código arbitrario en el navegador del usuario que acceda a la misma.
  2. Usuarios sin permisos para administrar comentarios pueden configurar la visibilidad de los comentarios en nodos que puedan editar (media): los usuarios con permisos para editar un nodo, pueden configurar la visibilidad de los comentarios de dicho nodo.
  3. Se puede descargar la configuración completa sin permisos de administrador (crítica): la ruta system.temporary podría permitir la descarga completa de toda la configuración.

Recomendación

  1. Actualizar a la versión 8.1.10 desde https://www.drupal.org/project/drupal/releases/8.1.10

Más información

  1. Drupal Core – Critical – Multiple Vulnerabilities – SA-CORE-2016-004 https://www.drupal.org/SA-CORE-2016-004

Fuente: INCIBE

Anuncios