El equipo de seguridad de Drupal ha solucionado varias vulnerabilidades en Drupal Core 6 y 7 que podrían ser aprovechadas por atacantes para saltar restricciones de seguridad, revelar información sensible e incluso suplantar la identidad de cuentas de usuario.
Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.
Aunque ninguna de estas vulnerabilidades tiene aún CVE asignado, podemos clasificarlas según su nivel de criticidad.
Nivel Alto:
Un error en el módulo 'OpenID' podría ser aprovechado por un atacante remoto para causar una suplantación de identidad de otras cuentas de usuario.
Nivel moderado
Un error en el módulo 'Taxonomy' podría mostrar contenido aún sin publicar a usuarios no autorizados. Lo cual podría ser aprovechado por un atacante remoto para revelar información sensible.
Nivel bajo
Un error en la función 'drupal_form_submit()' de la API para formularios, permitiría el envío programado de formularios sin verificar sus elementos. Un atacante remoto podría aprovechar este error para saltar restricciones de seguridad con la ayuda de formularios especialmente manipulados.
Afecta a las versiones 6.x anteriores a 6.30 y 7.x anteriores a 7.26, se recomienda su inmediata actualización.
Fuente: Hispasec
0 comentarios:
Publicar un comentario