Actualitzacions de seguretat per al core de Drupal

Recentment Drupal ha publicat actualitzacions de seguretat per a les versions 8 i 9. En aquestes actualitzacions es corregeixen 5 vulnerabilitats catalogades amb criticitat mitjana. La versió 7 de Drupal no es veu afectada.

Anàlisi
Hi ha 2 vulnerabilitats que afecten el mòdul QuickEdit, una d’aquestes (CVE-2020-13674) es produeix perquè no es validen correctament els accessos a rutes, i podria provocar una fugida d’informació. La vulnerabilitat és de tipus cross- site request forgery (CSRF). L’altra vulnerabilitat que afecta aquest mòdul, ocorre pel fet que no es comproven correctament els accessos a alguns camps, i podria revelar-se la informació d’aquests.

D’altra banda existeix una vulnerabilitat, en el mòdul Drupal core media, de tipus injecció de codi. Un atacant sense privilegis podria injectar codi en una pàgina web, quan una altra persona usuària amb privilegis hi accedeix.

El mòdul JSON:API té dues vulnerabilitats, una d’aquestes permet pujar arxius a través de l’API, i una altra no restringeix l’accés a alguns continguts de manera correcta.

Finalment, el mòdul REST/File presenta una vulnerabilitat que podria permetre la pujada d’arxius i eludir el procés de validació.

Recomanacions
Actualitzeu la versió de Drupal de la següent forma:

    • Drupal 9.2, a la versió 9.2.6
    • Drupal 9.1, a la versió 9.1.13
    • Drupal 8.9, a la versió 8.9.19

Referències
(1) https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-el-core-drupal-1
(2) https://www.drupal.org/security
(3) https://tweakers.net/downloads/57448/drupal-8919-9113-926.html