Esta semana, los administradores de Drupal anunciaron el lanzamiento de actualizaciones de seguridad con el fin de abordar algunas vulnerabilidades que podrían provocar ataques de evasión de acceso y sobrescritura de datos.
En su reporte, el sistema de gestión de contenido (CMS) de código abierto señala que la primera de estas fallas es descrita como un error de evasión de acceso que existe debido a una API de acceso de entidad genérica implementada de forma incorrecta para las revisiones de entidad.
Al parecer, esta API no estaba completamente integrada con los permisos existentes, resultando en una posible evasión de acceso para los usuarios que tienen acceso para usar revisiones de contenido en general, pero que no tienen acceso a elementos individuales de nodo y contenido multimedia.
La falla solamente reside en la versión Drupal 9.3 y afecta únicamente a los sitios web en los que se utiliza el sistema de revisión de Drupal de forma activa.
Por otra parte, la segunda falla reside en la API de formularios del núcleo de Drupal y se describe como una validación de entrada incorrecta en ciertos formularios de módulos personalizados o contribuidos. Debido a este error, los actores de amenazas podrían inyectar valores no permitidos o sobrescribir datos de forma arbitraria.
Los formularios afectados son poco comunes, pero Drupal señala que en casos específicos las fallas permitirían a los actores de amenazas modificar datos críticos o confidenciales. Si bien Drupal dice desconocer qué formularios se han visto afectados dentro del propio núcleo, los formularios de proyectos personalizados y contribuidos podrían verse comprometidos.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.