CSIRT Panamá Aviso 2022-04-22 Drupal: Múltiples vulnerabilidades en el core de Drupal 9
Gravedad: Media
Fecha de publicación: Abril 22, 2022
Última revisión: Abril 22, 2022
Sitio web: https://www.drupal.org/
Sistemas Afectados: versiones anteriores a la 9.3.12 y 9.2.18.
Las versiones de Drupal 8 y de Drupal 9, anteriores a la 9.2.x, se encuentran al final de su vida útil y ya no reciben cobertura de seguridad.
I.Descripción
Se han publicado dos vulnerabilidades de severidad media, que podrían afectar al core de Drupal.
II.Impacto
La API de formularios del núcleo de Drupal tiene una vulnerabilidad en la que ciertos formularios de módulos contribuidos o personalizados pueden ser vulnerables a una validación de entrada inadecuada. Esto podría permitir a un atacante inyectar valores no permitidos o sobrescribir datos. Los formularios afectados son poco comunes pero, en ciertos casos, un atacante podría alterar datos críticos o sensibles.
Drupal 9.3 implementó una API de acceso a entidades genéricas para las revisiones de entidades que no se integró completamente con los permisos existentes, lo que podría permitir la derivación de acceso para los usuarios que pueden utilizar revisiones de contenido, pero que no tienen acceso a elementos individuales de contenido de nodos y medios. Esta vulnerabilidad sólo afecta a los sitios que utilizan el sistema de revisión de Drupal.
III. Referencia a soluciones, herramientas e información
Actualizar a las versiones correspondientes:
- Drupal 9.3 a la versión 9.3.12; enlace: https://www.drupal.org/project/drupal/releases/9.3.12
- Drupal 9.2 a la versión 9.2.18; enlace: https://www.drupal.org/project/drupal/releases/9.2.18
Fuentes:
1.Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Múltiples vulnerabilidades en el core de Drupal 9. 21 de abril del 2022. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-el-core-drupal-9
Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124