Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
22/08/2017
Las tres vulnerabilidades detectadas permiten la evasión de restricciones de acceso y permiten a usuarios obtener información de vistas a las que no tienen acceso, enviar comentarios a través de la API REST a pesar de no tener permisos para ello, y visualizar, crear, actualizar o borrar entidades en el apartado correspondiente bajo ciertas condiciones.
La primera vulnerabilidad reportada afecta al componente Views, que en Drupal 8 es parte del núcleo de la aplicación pero en Drupal 7 estaba disponible como módulo separado, por lo que es necesario aplicar las mismas correcciones a dicho módulo.
Sistemas Afectados:Drupal 8.x versiones anteriores a 8.3.7
Módulo Views para Drupal 7 versiones anteriores a 7.x-3.17
Referencias:CVE-2017-6923, CVE-2017-6924, CVE-2017-6925
Solución:Actualizar Drupal y los módulos necesarios a las nuevas versiones publicadas.
Notas: