Inicio / Content / Boletín de INCIBE-CERT del 16-09-2021

Boletín de INCIBE-CERT del 16-09-2021

Múltiples vulnerabilidades en el core de Drupal

Fecha de publicación: 
16/09/2021
Importancia: 
3 - Media
Recursos afectados: 

Drupal, versión 9.2, 9.1 y 8.9.

Las versiones de Drupal 8 anteriores a la 8.9.x y de Drupal 9 anteriores a la 9.1.x, se encuentran al final de su vida útil y ya no reciben cobertura de seguridad.

Descripción: 

Se han publicado cinco vulnerabilidades de severidad media que podrían afectar al core de Drupal.

Solución: 

Actualizar:

  • Drupal 9.2, a la versión 9.2.6;
  • Drupal 9.1, a la versión 9.1.13;
  • Drupal 8.9, a la versión 8.9.19.
Detalle: 
  • En determinadas circunstancias, el filtro del módulo Drupal core Media podría permitir a un atacante sin privilegios inyectar HTML en una página cuando un usuario, con permisos para insertar contenidos multimedia, accede a ella. Se ha asignado el identificador CVE-2020-13673 para esta vulnerabilidad.
  • El módulo QuickEdit no valida correctamente el acceso a rutas, lo que podría permitir explotar una vulnerabilidad cross-site request forgery (SCRF) y así, comprometer la integridad de la información. Se ha asignado el identificador CVE-2020-13674 para esta vulnerabilidad.
  • Una validación incorrecta en la subida de archivos a través de las APIs HTTP de los módulos JSON:API y REST/File, podría permitir a un atacante subir archivos evadiendo el proceso de validación. Se ha asignado el identificador CVE-2020-13675 para esta vulnerabilidad.
  • El módulo QuickEdit no comprueba correctamente el acceso a campos en algunas circunstancias, lo que podría permitir la revelación de información. Se ha asignado el identificador CVE-2020-13676.
  • El módulo JSON:API no restringe el acceso a ciertos contenidos correctamente en determinadas circunstancias. Se ha asignado el identificador CVE-2020-13677 para esta vulnerabilidad.

Encuesta valoración