Home / Node / Boletín de INCIBE-CERT del 21-04-2022

Boletín de INCIBE-CERT del 21-04-2022

Múltiples vulnerabilidades en el core de Drupal 9

Publication date: 
04/21/2022
Importance: 
3 - Media
Affected resources: 

Drupal, versiones anteriores a la 9.3.12 y 9.2.18.

Las versiones de Drupal 8 y de Drupal 9, anteriores a la 9.2.x, se encuentran al final de su vida útil y ya no reciben cobertura de seguridad.

Description: 

Se han publicado dos vulnerabilidades de severidad media, que podrían afectar al core de Drupal.

Solution: 

Actualizar:

  • Drupal 9.3 a la versión 9.3.12;
  • Drupal 9.2 a la versión 9.2.18.
Detail: 
  • La API de formularios del núcleo de Drupal tiene una vulnerabilidad en la que ciertos formularios de módulos contribuidos o personalizados pueden ser vulnerables a una validación de entrada inadecuada. Esto podría permitir a un atacante inyectar valores no permitidos o sobrescribir datos. Los formularios afectados son poco comunes pero, en ciertos casos, un atacante podría alterar datos críticos o sensibles.
  • Drupal 9.3 implementó una API de acceso a entidades genéricas para las revisiones de entidades que no se integró completamente con los permisos existentes, lo que podría permitir la derivación de acceso para los usuarios que pueden utilizar revisiones de contenido, pero que no tienen acceso a elementos individuales de contenido de nodos y medios. Esta vulnerabilidad sólo afecta a los sitios que utilizan el sistema de revisión de Drupal.

Encuesta valoración