Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

04/05/2012

Actualización de seguridad 7.14 de Drupal

Resuelve 5 vulnerabilidades. Aunque, sólo pueden ser explotadas por usuarios autenticados con roles determinados.

La nueva versión, además de solventar varios bugs, resuelve las siguientes vulnerabilidades:

• CVE-2012-1588: vulnerabilidad de denegación de servicio en la funcionalidad de eliminación de etiquetas HTML erróneas y de conversión automática a enlace debido al tratamiento ineficiente de determinadas cadenas de texto.
• CVE-2012-1589: el API de los formularios permite configurar una URL de destino externa lo que posibilita una redirección maliciosa a un sitio web externo con las credenciales de acceso.
• CVE-2012-1590: error en la comprobación de acceso permite visualizar metadatos de posts del foro despublicados.
• CVE-2012-1591: vulnerabilidad que permite acceder a imágenes derivadas para las que no se tiene permiso.
• CVE-2012-2153: vulnerabilidad que permite acceder a la lista de nodos de "admin/content" en portales que ejecuten un módulo de acceso a nodos contributivo por usuarios con el rol "view content overview".

Sistemas Afectados:

Versiones de Drupal 7.x anteriores a la 7.13.

Referencias:

CVE-2012-1588, CVE-2012-1589, CVE-2012-1590, CVE-2012-1591, CVE-2012-2153

Solución:

Descargue la versión 7.14 de Drupal e instálela, puede encontrar instrucciones para hacerlo en la siguiente web:

• Update your Drupal site from one minor 7.x version to another minor 7.x version

Notas:

• drupal 7.14 
• drupal 7.13 
• SA-CORE-2012-002 - Drupal core multiple vulnerabilities 

 

CSIRT-CV