Actualización de seguridad 7.14 de Drupal
Resuelve 5 vulnerabilidades. Aunque, sólo pueden ser explotadas por usuarios autenticados con roles determinados.
Riesgo: Medio
La nueva versión, además de solventar varios bugs, resuelve las siguientes vulnerabilidades:
- CVE-2012-1588: vulnerabilidad de denegación de servicio en la funcionalidad de eliminación de etiquetas HTML erróneas y de conversión automática a enlace debido al tratamiento ineficiente de determinadas cadenas de texto.
- CVE-2012-1589: el API de los formularios permite configurar una URL de destino externa lo que posibilita una redirección maliciosa a un sitio web externo con las credenciales de acceso.
- CVE-2012-1590: error en la comprobación de acceso permite visualizar metadatos de posts del foro despublicados.
- CVE-2012-1591: vulnerabilidad que permite acceder a imágenes derivadas para las que no se tiene permiso.
- CVE-2012-2153: vulnerabilidad que permite acceder a la lista de nodos de "admin/content" en portales que ejecuten un módulo de acceso a nodos contributivo por usuarios con el rol "view content overview".
Sistemas Afectados: Versiones de Drupal 7.x anteriores a la 7.13.
Referencias: CVE-2012-1588, CVE-2012-1589, CVE-2012-1590, CVE-2012-1591, CVE-2012-2153
Solución:Descargue la versión 7.14 de Drupal e instálela, puede encontrar instrucciones para hacerlo en la siguiente web:
Notas: