El equipo de seguridad de Drupal ha publicado un boletín de seguridad calificado como crítico, en el que se solucionan tres vulnerabilidades.

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

El primer problema considerado critico reside en un cross-site scripting debido a que Drupal no filtraba adecuadamente las excepciones. También de gravedad crítica, una vulnerabilidad debido a que la ruta system.temporary podría permitir a un atacante sin permisos de administrador la descarga de la configuración completa.

Un último problema, de menor gravedad que los anteriores, podría permitir a usuarios sin permisos para la administración de comentarios configurar la visibilidad de comentarios en los nodos que puedan editar.

Se ven afectadas las versiones 8.x anteriores a 8.1.10. Se recomienda la actualización a la versión Drupal 8.1.10.  https://www.drupal.org/project/drupal/releases/8.1.10

Más información:

Fuente: Hispasec

Anuncios