Recientemente Drupal ha publicado actualizaciones de seguridad para las versiones 8 y 9. En estas actualizaciones se corrigen 5 vulnerabilidades catalogadas con criticidad media. La versión 7 de Drupal no se ve afectada.
Análisis
Existen 2 vulnerabilidades que afectan al módulo QuickEdit, una de ellas (CVE-2020-13674) se produce porque no se validan correctamente los accesos a rutas, y podría provocar una fuga de información. La vulnerabilidad es de tipo cross-site request forgery (CSRF). La otra vulnerabilidad que afecta a este módulo, ocurre debido a que no se comprueban correctamente los accesos a algunos campos, y podría revelarse la información de los mismos.
Por otro lado existe una vulnerabilidad, en el módulo Drupal core media, de tipo inyección de código. Un atacante sin privilegios podría inyectar código en una página web, cuando otro usuario con privilegios accede a ella.
El módulo JSON:API tiene dos vulnerabilidades, una de ellas permite subir archivos a través de la API, y otra no restringe el acceso a algunos contenidos de forma correcta.
Por último el módulo REST/File presenta una vulnerabilidad que podría permitir la subida de archivos eludiendo el proceso de validación.
Recomendaciones
Actualizar la versión de Drupal de la siguiente forma:
- Drupal 9.2, a la versión 9.2.6
- Drupal 9.1, a la versión 9.1.13
- Drupal 8.9, a la versión 8.9.19
Referencias
(1) https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-el-core-drupal-1
(2) https://www.drupal.org/security
(3) https://tweakers.net/downloads/57448/drupal-8919-9113-926.html