S’ha reportat una vulnerabilitat de severitat alta que afecta el core de Drupal, l’explotació de la qual podria permetre una escalada de privilegis.
Aquesta vulnerabilitat afecta únicament pàgines web amb el mòdul JSON:API habilitat, ja que aquest mòdul mostrarà traces d’errors que en algunes configuracions podria provocar que la informació sensible s’emmagatzeme en caixet (cache poisoning) i es pose a la disposició de persones usuàries anònimes, de manera que podria donar lloc a una escalada de privilegis
Recursos afectats
Core de Drupal, versions:
- des de 8.7.0 fins a anteriors a 9.5.11;
- des de 10.0 fins a anteriors a 10.0.11;
- des de 10.1 fins a anteriors a 10.1.4.
Drupal 7 no està afectat.
Recomanacions
Instal·lar l’última versió:
- Drupal 10.1, actualitzar a 10.1.4;
- Drupal 10.0, actualitzar a 10.0.11;
- Drupal 9.5, actualitzar a 9.5.11
Totes les versions de Drupal 9 anteriors a la 9.5, juntament amb Drupal 8, estan en fase EoL i no reben actualitzacions de seguretat.
Referències
- https://www.drupal.org/project/drupal/releases/10.1.4
- https://www.drupal.org/project/drupal/releases/10.0.11
- https://www.drupal.org/project/drupal/releases/9.5.11
- https://www.drupal.org/sa-core-2023-006
- https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-de-escalada-de-privilegios-en-el-core-de-drupal