Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades críticas en el núcleo de Drupal

Múltiples vulnerabilidades críticas en el núcleo de Drupal

Fecha de publicación: 
18/06/2015
Importancia: 
5 - Crítica
Recursos afectados: 
  • Drupal core 6.x, versiones anteriores a la 6.36.
  • Drupal core 7.x, versiones anteriores a la 7.38.
Descripción: 

Se han identificado y corregido cuatro vulnerabilidades en el núcleo del gestor de contenidos Drupal.

Solución: 

Actualizar Drupal a las versiones 6.36 y 7.38.

Detalle: 

Suplantación (módulo OpenID - Drupal 6 y 7)

Una vulnerabilidad en el módulo de OpenID podría permitir a un usuario malintencionado autenticarse como otro usuario, incluyendo cuentas de administrador, y secuestrar sus cuentas.

Vulnerabilidad de redirección abierta (módulo Field UI - Drupal 7)

El módulo Field UI utiliza el parámetro "destinations" de la URL para redirigir a los usuarios a nuevos destinos después de completar una acción en algunas páginas de administración. Bajo ciertas circunstancias, se puede utilizar este parámetro para construir una URL y redirigir a los usuarios a un sitio web fraudulento, lo que expone a los mismos a posibles ataques de ingeniería social.

Vulnerabilidad de redirección abierta (módulo Overlay - Drupal 7)

El módulo Overlay muestra las páginas administrativas como una capa sobre la página actual (usando JavaScript), en lugar de sustituir la página en la ventana del navegador. El módulo de superposición no valida correctamente URLs antes de mostrar su contenido, lo que lleva a una vulnerabilidad de redirección abierta.

Divulgación de información (Render cache system - Drupal 7

Los sitios con Drupal 7 que utilicen el sistema de caché Render para almacenar el contenido en base al role del usuario, exponen este contenido privado a usuarios no privilegiados.