Actualización crítica para todas las versiones de Drupal
Se han publicado un total de 10 vulnerabilidades que afectan a todas las versiones actuales de Drupal. Además, este boletín es el último en el que se van a publicar actualizaciones para Drupal 6, que deja de estar soportado.
Riesgo: Crítico
De las 10 vulnerabilidades publicadas y corregidas, una es especialmente crítica, y consiste en un fallo en las restricciones de acceso en la Form API que permite a un usuario pulsar botones para los que se supone que no tiene permisos. Este fallo afecta sólo a Drupal 6.
Las otras vulnerabilidades publicadas son:
- File upload access bypass and denial of service (File module - Drupal 7 and 8 - Moderately Critical)
- Brute force amplification attacks via XML-RPC (XML-RPC server - Drupal 6 and 7 - Moderately Critical)
- Open redirect via path manipulation (Base system - Drupal 6, 7 and 8 - Moderately Critical)
- HTTP header injection using line breaks (Base system - Drupal 6 - Moderately Critical)
- Open redirect via double-encoded 'destination' parameter (Base system - Drupal 6 - Moderately Critical)
- Reflected file download vulnerability (System module - Drupal 6 and 7 - Moderately Critical)
- Saving user accounts can sometimes grant the user all roles (User module - Drupal 6 and 7 - Less Critical)
- Email address can be matched to an account (User module - Drupal 7 and 8 - Less Critical)
- Session data truncation can lead to unserialization of user provided data (Base system - Drupal 6 - Less Critical)
Recordamos también que a partir del 24 de febrero Drupal 6 deja de tener soporte, por lo que la versión publicada ahora será la última que saldrá a la luz.
Sistemas Afectados: Drupal core 6.x versiones anteriores a la 6.38
Drupal core 7.x versiones anteriores a la 7.43
Drupal core 8.0.x versiones anteriores a la 8.0.4
Referencias: None
Solución:Se recomienda actualizar a las últimas versiones disponibles:
Notas: Drupal SA-CORE-2016-001