Múltiples vulnerabilidades en el core de Drupal

Múltiples vulnerabilidades en el core de Drupal

Fecha de publicación: 

17/02/2022

Importancia: 

3 - Media

Recursos afectados: 

Drupal, versiones anteriores a la 9.3.6, 9.2.13 y 7.88.

Las versiones de Drupal 8 y de Drupal 9, anteriores a la 9.2.x, se encuentran al final de su vida útil y ya no reciben cobertura de seguridad.

Descripción: 

Se han publicado dos vulnerabilidades de severidad media que podrían afectar al core de Drupal.

Solución: 

Actualizar:

  • Drupal 9.3, a la versión 9.3.6;
  • Drupal 9.2, a la versión 9.2.13;
  • Drupal 7, a la versión 7.88.

Detalle: 

  • La validación inadecuada de los datos de entrada en la API de formularios del core de Drupal podría permitir a un atacante inyectar valores no permitidos o sobrescribir datos. Los formularios afectados son poco comunes, pero en ciertos casos un atacante podría alterar datos críticos o sensibles. Se ha asignado el identificador CVE-2022-25271 para esta vulnerabilidad.
  • El módulo Quick Edit no comprueba correctamente el acceso a las entidades en algunas circunstancias. Esto podría dar lugar a que los usuarios con el permiso de 'acceso a la edición in situ' vean algún contenido al que no están autorizados. Se ha asignado el identificador CVE-2022-25270 para esta vulnerabilidad.

Referencias: 

Drupal core - Moderately critical - Improper input validation - SA-CORE-2022-003

Drupal core - Moderately critical - Information disclosure - SA-CORE-2022-004

Comentarios (0)

Deja un comentario



Categorias


Por fecha


Listed on WHTop.com
Dejanos tu opinión: Enlace