La gente de Hispasec nos avisa de una nueva actualización de seguridad en Drupal, un CMS (Content Management System) o mejor definido CMF (Content Management Framework) del que disfrutamos y bastante. Se trata de algo más que un CMS ya que el nivel de personalización que puede llegar a conseguirse vía programación es mucho mayor del que disfrutamos en WordPress u otros CMS como Joomla, TYPO3 o Xoops, por mencionar algunos de los muchos existentes.
Os copypasteo la nota que ha publicado Hispasec en su boletín «una al día»:
Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.
A continuación un breve resumen de los fallos corregidos:
El primer fallo tiene asignado el CVE-2017-6926 y podría permitir a un atacante remoto los permisos adecuados para la publicación de respuesta en un post, acceder a información para la que no tenga privilegios e incluso comentar en él.
La segunda vulnerabilidad, CVE-2017-6927, se debe a un fallo en el sistema de protección de XSS, concretamente en la función Drupal.checkPlain(). Bajo ciertas circunstancias un atacante podría saltarse la función de escapado permitiendo la inclusión de código.
El fallo identificado con CVE-2017-6928, podría permitir, bajo ciertas circunstancia, la descarga de ficheros no autorizados para el usuario, a través de su gestor de ficheros.
Una vulnerabilidad de cross site scripting cuando se acede a dominios no verificados desde jQuery, identificada con el CVE-2017-6929.
Un fallo al usar el control de lenguaje en sistemas Drupal multilenguaje en función del origen, y forzar un lenguaje sin traducción disponible podría ocasionar el acceso a información no autorizada. Esta vulnerabilidad está asociada con el CVE-2017-6930.
Un fallo en el módulo de la bandeja de ajuste podría permitir a un usuario modificar información para la que no tendría privilegios. Este fallo está identificado bajo CVE-2017-6931.Y por último, identificada con el CVE-2017-6932. Un fallo cuando el bloqueador de selector de idioma está activado, podría permitir la inclusión de una web externa en la web de error 404.
Los problemas afectan a las ramas 8 y 7 de Drupal. Se recomienda la actualización a Drupal 8.4.5 y 7.57 respectivamente.
Más información:Drupal 8.4.5:
https://www.drupal.org/project/drupal/releases/8.4.5 Drupal 7.57:
https://www.drupal.org/project/drupal/releases/7.57 SA-CORE-2018-001:
https://www.drupal.org/SA-CORE-2018-001